cc攻击防护_如何办_cdn谨防哪家好-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > cc攻击防护_如何办_cdn谨防哪家好

cc攻击防护_如何办_cdn谨防哪家好

小墨安全管家 2021-04-06 11:35 DDOS防御 89 ℃
DDoS防御

cc攻击防护_如何办_cdn谨防哪家好

X-Frame-Options HTTP响应头是防止clickjacking漏洞的常用想法,DDoS防御,因为它易于实现和配置,而且所有现代扫瞄器都支持它。随着点击劫持的意识在过去几年中的增长,我看到越来越多的Qualys客户采纳X-Frame-Options来提高其网络的安全性应用程序。然而, 我还注意到有一具常见的实现错误,导致一些web应用程序即使配置了X-Frame-Options,也容易受到点击劫持攻击。在本文中,我描述了实现错误,CC防御,并展示了怎么检查web应用程序以确保实现了X-Frame-Options对。对于Clickjacking和X-Frame-options正如我在上一篇文章中所写的,Clickjacking是一种欺骗web用户点击按钮、链接或图片等的攻击,而这些基本上web用户没有些击的计划点击,通常是经过在网页上覆盖一具(通常是透明的)iframe。用户以为他在点击合法页面上的链接,但实际上点击了一具看不见的覆盖链接或按钮。这种恶意技术大概会暴露机密信息,或者更不常见的是,操纵用户的计算机。例如,在Facebook上,一具clickjack大概会导致未经授权的用户从您的帐户中向您的整个好友网络发送垃圾邮件。我们懂点击劫持,也称为"UI补救攻击",多年来,罗伯特·汉森和杰里米·格罗斯曼最初在2008年描述了这一点。这么,X帧选项是怎么工作的呢?X-Frame-Options HTTP响应头可用于指定是否允许扫瞄器呈现或中的内容。假如iframe不能在扫瞄器中加载并覆盖在合法页面上,这么clickjacking攻击就不大概发生大概。多个响应标题中的X-Frame-Options我看到Qualys客户声称Qualys Web应用程序扫描(WAS)在扫描期间标记了Clickjacking漏洞的误报,虽然他们在他们的web应用程序中部署了X-Frame-Options对策。由于一具常见的实现错误:在响应中显示了多个X-Frame-Options项,这些结果通常基本上的确积极的标题。到理解错误,想象一下向和使用两个X-Frame-Options猎取以下响应头字段:HTTP/1.1200 OKServer:Apache Coyote/1.1X-FRAME-OPTIONS:SAMEORIGINSet Cookie:JSESSIONID=E0BF8BA2829148A9D3C5370FB2A03820;路径=/;HttpOnlyX帧选项:SAMEORIGINX内容类型选项:nosniffX XSS爱护:1;mode=block当使用多个X-Frame-Options项时,CC防御,依照HTTP-rfc2616第4节,当多个具有相同字段名的消息头字段时,扫瞄器引擎会将多个头字段合并为一具,即当多个消息头字段具有相同的字段名时,扫瞄器引擎将修改之前的响应头包括以下内容格式.HTTP/1.1 200 OKServer:Apache Coyote/1.1Set-Cookie:JSESSIONID=E0BF8BA2829148A9D3C5370FB2A03820;路径=/;HttpOnlyX帧选项:SAMEORIGIN,SAMEORIGINX内容类型选项:nosniffX XSS Protection:1;mode=block依照RFC7034,惟独这三个值DENY、SAMEORIGIN和ALLOW FROM是有效值,同时它们是有效值互斥;也算是讲,头字段必须设置为这三个值中的一具。有点扫瞄器会将标题项"X-Frame-Options:SAMEORIGIN,CC防御,SAMEORIGIN"视为无效,因为字段值"SAMEORIGIN,SAMEORIGIN"不是这三个值中的任何一具。所以,X-Frame-Options功能在某些扫瞄器中无效,例如Safari browser(6.0.5),当攻击者使用旧版本的Safari扫瞄器查看网站时,攻击者大概会对受害者发起点击劫持攻击。我在Windows机器上用Safari(5.1.7)和Mac上的Safari 6.0.5举行了测试。尽管Safari 7(用Safari 7.1.7测试)已修复此咨询题,假如用户使用旧的Safari,它仍然会带来惊险扫瞄器。如何做常见的是X-Frame-Options实现错误?在决定写这篇文章之后,我对Alexa Top 20做了一些额外的研究,以检查这种实现错误是否也大概发生在一些流行的大型网站上,或者这仅仅是一具由缺乏经验的开辟人员引起的小咨询题。结果令人惊奇。我发觉一具网站的几个域Alexa前20名就遭遇了这种事情错误。之后通过调查,我发觉我能够利用那个漏洞发动攻击,我肯定假如攻击者将针对那个漏洞的攻击与一些社会工程工作结合起来,大概会造成伤害。我基本通知了易受攻击网站的所有者,他们正在努力缓解措施。根实现错误的缘由多种缘由都大概导致这种实现错误。从遭受这些错误的客户的反馈和我自个儿的开辟经验来看,这两种事情将导致响应中浮上不止一种X-帧选项标题:条件1:X-Frame-Options头被添加到源代码中,并在apache中重新部署,IIS服务器条件2:X-Frame-Options头被添加并且,在"服务器负载平衡"框中,再次在"服务器负载平衡"框中配置这些选项,假如他们部署X-Frame-Options来防止点击劫持,我建议他们检查响应头是否包含多个X-Frame-Options头攻击相关的点击劫持:2012年12月29日在"安全实验室"黑客攻击Web应用程序时被忽视的网络安全Holenoveer 26,2012年在"安全实验室"中,怎么忽视低级别的安全风险能够打开通往要紧攻击的大门2016年12月25日在"安全实验室"


DDoS防御

当前位置:主页 > DDOS防御 > cc攻击防护_如何办_cdn谨防哪家好

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119