抗ddos_独立高防服务器租用_快速解决-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 抗ddos_独立高防服务器租用_快速解决

抗ddos_独立高防服务器租用_快速解决

小墨安全管家 2021-05-03 18:35 高防CDN 89 ℃
DDoS防御

抗ddos_独立高防服务器租用_快速解决

最近在执行一具手动渗透测试时,DDoS防御,我遇到了一具会话治理系统,防DDoS,它几乎与所有推举的安全实践背道而驰。开辟人员没有使用与开辟框架相关联的预构建实现,而是从头开始编写了一具实现,其中包括:基于用户ID和数字计数器生成的会话令牌。将会话令牌附加到每个URL的末尾,而不是使用cookie。允许一具用户有多个并发会话。用户单击"注销"时未销毁会话。令我惊奇的是,在大约一具小时的不活动之后,CC防御,会话会终止,于是这并不基本上坏事。虽然这样,上述缺陷的结合大概导致账户被劫持,既有目的的攻击,也实用户的天真。攻击者能够经过生成大概的会话令牌(因为令牌基于已知的计数器值和数字用户ID)来执行暴力搜索以寻找有效会话。每个帐户大概的会话令牌数为100000,这意味着只要用户ID有效,就能够在几分钟内找到有效的会话。更严峻的大概是由于用户在网上共享信息时的稚嫩而导致的攻击。假如用户想向同事发送链接,大多数人都会复制并粘贴链接,而不思量其中包含敏感会话信息。不幸的是,在本例中,应用程序中的每个链接都包含用户的当前会话令牌。点击如此一具链接的人会即将登录到一具有效的会话中。假如使用共享计算机,每个URL中的会话令牌也会导致咨询题,因为令牌将被保存到扫瞄器历史记录和缓存中。假如应用程序加载第三方资源(例如JavaScript文件),这么会话令牌将作为经常被忽略的"Referer"HTTP报头的一部分发送给该第三方。假设第三方服务器启用了日志,这么日志将充满每个用户的有效会话令牌。正如我在博客标题中所暗示的,会话治理的安全实现不必像尝试推出自个儿的内部版本那么复杂。十年前,我们还不建议使用开辟框架中的会话治理方案,但如今它们基本过严格的测试,同时经常用于安全应用程序中。与以往一样,DDoS防御,这些方案中会存在潜在的弱点,这算是为啥开辟人员必须确保他们使用的是最新版本的框架,并相应地安全地配置任何会话治理选项。


DDoS防御

当前位置:主页 > 高防CDN > 抗ddos_独立高防服务器租用_快速解决

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119