ddos防攻击_nginx防ddos_如何防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > ddos防攻击_nginx防ddos_如何防

ddos防攻击_nginx防ddos_如何防

小墨安全管家 2021-08-26 05:05 高防服务器 89 ℃
DDoS防御

ddos防攻击_nginx防ddos_如何防

第三方JavaScript是一种常用的技术,用于向网站添加功能、用户体验或安全模式。可是,DDoS防御,这些网站的增加会带来特别大的摩擦。并非所实用户都希翼等待各种JavaScript组件加载,也没有人对将信用卡信息丢失给Magecart相关内容扫瞄感兴趣。为了更好地了解第三方代码的阻碍和风险,CQ Prime Threat研究团队在2020年1月分析了我们新闻监控机器人寻觅Magecart的60多个警报,结果令人惊奇。Magecart特别流行我们的第一具观看是,在我们回忆的大约60个案例中,大多数受阻碍的组织都使用了第三方代码。他们也许没有跟踪外部源代码JavaScript的变化,也没有监控它对他们网站的阻碍。从Magecart阻碍的新闻报道中分析,CC防御,在这60个网站中,所有的网站都有第三方调用,指向另一具存放足本以供执行的站点。例子从中型零售商到大型组织,如奥运门票销售和澳大利亚丛林火灾捐赠网站。太多隐秘了很多流行的网站将使用第三方代码来支持广告网络、广告跟踪器、风格和挪移数据的想法。下面的图1突出显示了对一具将Facebook作为第三方依靠的网站的阻碍。Facebook的依靠关系是图片中间的蓝色圆圈,它连继续很多外部足本资源,并被很多其他组织调用。它的流行讲明了相互关联的依靠关系是怎么相互关联的,以及为啥Magecart这样多产同时难以统治,因为在那个例子中攻击Facebook依靠关系能够/会迅速扩展到很多目标。图1:添加像Facebook如此的第三方集成会大大增加治理相互关联的依靠关系和相关风险的复杂性。就其本身而言,大量相互关联的依靠关系突出了第三方代码的安全风险。对图像文件、字体、样式和各种其他足本的调用在大多数差不多网站上都使用。流量更大的热门网站会从50个地点调用JavaScript。任何一具地点都能够妥协,指向一具新的第三方代码,或者能够经过其他攻击向量注入恶意代码。有太多的地点以为这种攻击是不会的。增加了过多JavaScript调用的风险的是,特别少有组织可以彻底了解其第三方依靠关系。他们通常不懂更改、新添加的内容,或者当一具人开始将信用卡数据重定向到另一具站点时。在最近的Magecart攻击中,BASE64编码被用于混淆监视特定签出表单的JavaScript。假如加载了该表单,则会捕获姓名、地址、电话号码、信用卡、CVV、Expiry,并将其发送到服务器,以便在数据库中举行收集。图2显示了JavaScript代码段,它加载了主页面并静默地等待签出序列。图2:第三方集成代码示例-Magecart攻击者的一具简单目标。那个BASE64编码的字符串只需打开一具连接,将数据发送回服务器"'open'、'post'、'setRequestHeader'、'Content-Type'、'application/x-www-form-urlencoded'"关于这种类型的攻击,建议的缓解措施之一是子资源完整性(SRI)。这意味着您在代码中包含所有第三方JavaScript的散列。接着,扫瞄器提取哈希值,生成自个儿的哈希值,并对它们举行比较。假如它检测到某些东西发生了变化,它就不大概加载该代码。只是,这种想法也有缺点。因为,假如您或供应商举行了更改,则需要重做哈希并重新部署。它是能够编排的,但思量到一些流行的扫瞄器,防DDoS,如IE和Edge没有得到彻底的支持;SRI还没有被大量采纳。随着更多的第三方代码被采纳,隐秘散列的数量将不得不动态增长,而且某些东西必须成为地球上所有JavaScript的唯一真实来源——这是一具不太大概的命题。执行速度太慢在web站点上执行的第三方代码片段数量的增加通常被忽视的阻碍是它们对页面加载速度的阻碍。其中一些代码用于动态构建页面,用于分析目的,提供用户体验反馈,或爱护站点免受自动攻击。使用谷歌的PageSpeed Insights(https://developers.google.com/speed/pagespeed/insights/)若要分析常用网站,请演示页面加载阻碍最大的位置。在页面有第三方代码执行含糊处理或不过举行页面计算的事情下,页面加载量会显著增加。这些站点的性能调优需要删除其中的一些组件,因为它们会影响用户加载,并提供另一组正在使用的第三方代码。图3:第三方代码在页面加载时执行时对用户体验的阻碍。在更极端的事情下,PageSpeed Insights显示,为自动攻击爱护收集遥测数据的JavaScript为相当简单的页面加载时刻增加了5秒。在密码保险库时代,认证等待游戏不再是第三方代码执行的藏身之地。用户基本开始期望页面可以快速加载,防DDoS,而且不大概有太大的苦恼。添加第三方代码是与最后来用户创建交互并创建积极用户体验的好想法。然而,你应该把它放在你的网站内联,只需很小心和小心。不懂代码的作用、执行方式或对扫瞄器的阻碍都会带来风险。当我们开始看到越来越多的攻击发生在这一层上时,我们需要意识到,拥有一具良好的第三方资源库存并制定策略来跟踪它的变化是特别重要的。否则,对这种载体的攻击,如信用卡盗用,大概会被忽视。假如您的应用程序有太多的依靠项,以至于您无法有效地理解其中一具是否发生了变化,这么您应该研究怎么更好地了解依靠项,以及它们怎么阻碍用户安全性和用户体验。正在寻觅爱护面向公众的应用程序的想法吗?在下面的视频中了解更多对于应用防火墙的信息。


DDoS防御

当前位置:主页 > 高防服务器 > ddos防攻击_nginx防ddos_如何防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119