高防cdn_防ddos攻击产品_解决方案-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 高防cdn_防ddos攻击产品_解决方案

高防cdn_防ddos攻击产品_解决方案

小墨安全管家 2021-05-05 11:23 CC防火墙 89 ℃
DDoS防御

高防cdn_防ddos攻击产品_解决方案

惠普昨天公布了一具名为scrawler的新工具,能够用来识别网站中的某些类型的SQL注入漏洞。这是与微软的共同努力,也是对最近大规模SQL注入攻击的直截了当回应。scrawler特别快就在网络安全邮件列表中受到攻击,因为它有一些相当大的限制。Billy Hoffman等人特别快就指出,该工具旨在解决SQL注入漏洞的一具很具体的子集(即受大规模攻击阻碍的类型),而不是设计成现有SQL注入扫描器的通用替代品。让我们逐一查看HP页面上概述的限制。限制:最多只能爬行1500页取决于1500页是啥意思。例如,假如我的首页上有这些链接,那是一具依旧三个?https://www.veracode.com/blog/?p=111&foo=1https://www.veracode.com/blog/?p=111和foo=2https://www.veracode.com/blog/?p=111&foo=3或者,这是否意味着它的确只会爬网1500页,于是假如我在首页上有1500次相同的链接,它就不大概进一步了?无论怎么样,关于大多数较小的网站来讲,这大概是好的。假如你需要超过1500个,你能够给它不同的起始网址,试图提高覆盖率。只是,假如能对"爬到1500页"的含义有一具更清楚的定义,那就更好了。限制:不支持需要身份验证的网站,这将使其对大多数企业应用程序毫无用处。然而仍然有特别多网站不需要认证,包括一些在大规模攻击中受到攻击的网站,DDoS高防,比如联合国、英国政府,DDoS防御,等等。[更新06/26:Thomas Ptacek Mike Tracy进一步调查并提供了一具解决想法,适用于大多数使用基于cookie的身份验证的站点]限制:不执行盲SQL注入他们为此受到了特别多抨击,但Billy将其描述为一具故意识的挑选:该工具的早期版本检查了盲SQL注入,然而scrawler的最后来版本没有。。。我们从早期测试中得到的最大反馈是开辟人员希翼"看到"漏洞。差分分析在某种程度上特别难以一种有助于普通开辟人员的方式可视化,而且盲目地提取表名是一具性能咨询题。我能够理解那个差不多原理。盲SQL注入测试更容易浮上误报。任何商业网络扫描仪或源代码分析器的用户都会证明,你花在寻觅FPs上的时刻越多,你就越不会对今后的结果抱有信心。只是,假如有一种想法能够打开和关闭盲SQL注入测试,那就更好了(默认事情下能够关闭,如此就没有人会感到困惑)。限制:无法检索数据库内容谁在乎?找到并修复漏洞。把整个数据库"因为你能够"彻底是一种自我的行为。限制:不支持JavaScript或flash解析,DDoS防御,反正没人做得特别好,尤其是JavaScript部分。编写一具优秀的爬虫程序大概是编写一具自动web扫描仪最艰难的部分,它也是不同产品之间最大的区别之一。你不大概免费得到的。限制:不大概测试表单的SQL注入(POST参数),这大概是最难答应的。从HTML中解析出表单并不难,表单帖子能够代表攻击面的要紧部分。诚然,与大规模攻击相关的中文工具真的只对GET请求(即查询字符串中的参数)举行操作,所以惠普能够再次对此举行辩护,称该工具实际上是针对大规模攻击的目标站点。只是,我以为这有些短视;大规模攻击特别大概会演变,对此采取积极主动的态度比被动应对要好。结论特别难因为某人释放了一具免费工具而对其举行抨击。我个人以为惠普应该增加一具选项来支持盲SQL注入测试,他们应该思量支持post和get。差不多上你能够免费得到一具(大量)精简的WebInspect,于是就把它当成它的模样吧。没有一种工具是万能的。关于scrawler声称支持的东西,其效果怎么,DDoS防御,目前还没有定论。然后关注网络安全列表;评论正在过滤。Veracode安全解决方案互联网安全恶意代码脆弱性评估网络安全应用程序测试动态分析安全替代方案生命强化白帽安全IBM Rational应用程序扫描安全威胁指南SQL注入教程LDAP安全挪移安全防止跨站点足本CSRF公司


DDoS防御

当前位置:主页 > CC防火墙 > 高防cdn_防ddos攻击产品_解决方案

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119