被ddos攻击_有效的_游戏谨防盾-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 被ddos攻击_有效的_游戏谨防盾

被ddos攻击_有效的_游戏谨防盾

小墨安全管家 2021-04-06 10:04 高防CDN 89 ℃
DDoS防御

被ddos攻击_有效的_游戏谨防盾

Qualys Web Application Scanning 4.9增加了在使用JSON输入的AJAX应用程序上运行Web应用程序漏洞扫描的功能。具体来讲,was4.9能够测试SQL注入(SQLi)、本地文件注入(LFI)和PHP命令注入。很多web应用程序扫描器可以检测到使用标准GET/POST请求的web应用程序中的SQL注入、LFI、PHP命令注入和其他漏洞,然而在使用POST数据中的JSON输入的应用程序中却找不到相同的漏洞。为了分析和检测JSON请求中的漏洞,CC防御,was4.9增加了在自动扫描中执行一些AJAX足本的功能,而无需手动干预。此功能依靠于SmartScan功能,客户需要在其订阅。对于带有JSON输入的AJAX应用程序很多较新的web应用程序严峻依靠AJAX(异步Javascript和XML)。AJAX是用于创建RIA(富Internet应用程序)的众多技术之一。Javascript和XMLHttpRequest对象一起允许web开辟人员创建异步web应用程序。web应用程序将发出异步请求;解析从服务器获得的响应并更新web页面内容。很多开辟人员试图摆脱XML,用其他几种格式替换它,其中之一算是JSON(JavaScript对象表示法)。JSON关于人类来讲特别容易读写,同时在客户机和服务器之间的数据交换中是轻量级的数据–{"电子邮件":xyz@example.com","oldpassword":"旧密码","newpassword":"newpassword"}以上请求的正常响应大概看起来有点啥例如:密码已更改成功.SQLInjection DetectionQualys测试web应用程序是否易受SQL注入攻击,想法是在电子邮件参数中附加一具单引号(')的SQL注入负载,结果如下请求:公布数据–{"电子邮件":xyz@example.com'","oldpassword":"oldpassword","newpassword":"newpassword"}使用SQLITE作为后端的易受攻击服务器的响应将是:{"error":{"message":"SQLITE_error:无法识别的令牌:\"d5b5fffc89f961903fb3c9a173f1b667\"","stack":"错误:SQLITE错误:无法识别的标记:\"d5b5fffc89f961903fb3c9a173f1b667\"\nError(native)","errno":1,"code":"SQLITE_Error","sql":"更新"用户设置密码="5e9d11a14ad1c8dd77e98ef9b53fd1ba",其中电子邮件='xyz@example.com''和密码='d5b5fffc89f961903fb3c9a173f1b667'}}在本例中,WAS引擎将报告qid150003,并在示例中使用JSON含糊处理网站。本地文件包含检测典型的电子商务web应用程序大概有以下搜索请求产品:POST数据–{"query":"tv",CC防御,"order":"asc","limit":50}测试查询参数是否易受LFI(本地文件包含)攻击发送以下命令举行测试:POST data–{"query":"/../../../../../../../../etc/passwd",CC防御,"order":"asc","limit":50}假如服务器是linux:你搜索用于:/../../../../../../../etc/passwd
根:x:0:0:root:/root:/bin/bash箱子:x:1:1:bin:/bin:/sbin/nologin守护进程:x:2:2:守护程序:/sbin:/sbin/nologin阿霉素:x:3:4:adm:/var/adm:/sbin/nologin低压:x:4:7:lp:/var/spool/lpd:/sbin/nologin在这种事情下,假如同一电子商务应用程序在查询参数中存在命令注入漏洞,则WAS引擎将报告QID 150011.PHP命令注入检测WAS test以下:公布数据–{"query":"| netstat-an","order":"asc",DDoS防御,"limit":50}来自服务器的响应将包括在服务员:你搜索过了for:| netstat-an活动Internet连接(服务器和已建立)Proto Recv-Q Send-Q本地地址外部地址状态tcp 0 0 0.0.0.0:22 0.0.0.0:*听tcp 0 0 127.0.0.1:631 0.0.0.0:*听tcp 0 0 127.0.0.1:25 0.0.0.0:*听在这种事情下,WAS引擎将在"Product and Tech"中报告QID 150055.RelatedREST API Testing with Qualys Web Application Scanning2017年3月27日在"Product and Tech"Threading SQL Injection:Defense In DepthAugust 312016in"Security Labs"中报告QID 150055.RelatedREST API Testing with Qualys Web Application Scanning2017年3月27日


DDoS防御

当前位置:主页 > 高防CDN > 被ddos攻击_有效的_游戏谨防盾

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119