云防护_cdn能谨防ddos吗_怎么解决-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 云防护_cdn能谨防ddos吗_怎么解决

云防护_cdn能谨防ddos吗_怎么解决

小墨安全管家 2021-05-05 10:02 高防服务器 89 ℃
DDoS防御

云防护_cdn能谨防ddos吗_怎么解决

关于静态分析产品(尤其是桌面工具)的消费者来讲,最大的挑战之一是处理大量的缺陷。你必须认真研究这些发觉来决定啥时候修复,这大概是一项艰巨的任务。在Veracode,CC防御,我们不断更新我们的分析引擎,以积极减少误报,从而使我们的客户可以更有效地对结果举行分类。即便这样,客户要求澄清某些缺陷的事情并无数见,因为他们会优先思量修复。前几天,我们遇到了一具例子,结果比看上去有味得多。缺陷类别是不安全的暂时文件,咨询题是"我的确应该关怀那个吗?"我们发觉的缺陷是在一具Java应用程序中,有咨询题的行是如此的:tmp文件=java.io.File文件.createTempFile(deploymentName,".war");我懂你在想啥。您以为本文的其余部分是对于createTempFile()怎么使用的java.util.Random.随机而不是java.security.SecureRandom要生成文件名,同时由于Random是以系统时刻为种子的,于是您能够反向工作来计算种子并使用它来预测未来所有的暂时文件。不是如此,然后读吧!除了使用非加密的PRNG之外,我们忘记createTempFile()有啥不行的地点,于是我们检查了Java API以寻觅线索:在指定的名目中创建一具新的空文件,使用给定的前缀和后缀字符串生成其名称。。。要创建新文件,能够首先调整前缀和后缀以适应底层平台的限制。假如前缀太长,它将被截断,但它的前三个字符将始终保留。假如后缀太长,这么它也将被截断,但假如它以句点字符('.')开头,则句点及其后的前三个字符将始终保留。一旦举行了这些调整,新文件的名称将经过连接前缀、五个或更多内部生成的字符和后缀来生成。经过快速测试程序验证了此行为:$for i in`seq 1 10`;do java createTempFile;完成/tmp/prefix53363后缀/tmp/前缀200后缀/tmp/prefix53898后缀/tmp/Prefix26801后缀/tmp/前缀13687后缀/tmp/prefix2221suffix公司/tmp/前缀28661后缀/tmp/前缀61720后缀/tmp/prefix23104后缀/tmp/prefix29833suffixOK,看起来已经是对的。它言行一致。我的一具同事特别快提出了一具咨询题:假如生成的文件名基本存在,会发生啥?所以,他经过/tmp/prefix5535后缀生成了/tmp/prefix0suffix并再次运行测试程序。$for i in`seq 1 10`;do java createTempFile;完成/tmp/前缀65536后缀/tmp/前缀65537后缀/tmp/前缀65538后缀/tmp/前缀65539后缀/tmp/前缀65540后缀/tmp/前缀65541后缀/tmp/前缀65542后缀/tmp/前缀65543后缀/tmp/前缀65544后缀/tmp/prefix65545脚够了哦,不行。于是createTempFile()不仅使用了一具很小的搜索空间,而且当它耗尽了那个空间时,DDoS防御,DDoS防御,它会退化为100%可预测的?反编译JRE 1.6.0_07的相关部分,我们能够看到文件名是怎么构造的:私有静态文件generateFile(字符串s,字符串s1,文件文件)引发IOException{假如(计数器==-1)counter=(new Random()).nextInt()&0xffff;计数器++;返回新文件(File,(new StringBuilder()).append(s).append(整数.toString(counter)).append(s1).toString());}公共静态文件createTempFile(字符串s,字符串s1,文件文件)引发IOException{...文件文件1;做file1=生成文件(s,s2,file);并且(!checkAndCreate(file1.getPath(),securitymanager));返回文件1;}这告诉我们createTempFile()实际上比我们想象的还要糟糕。请注意,计数器只分配一次随机值。一旦它有了第一具随机值,它就会从这个点向前递增。我们在第一次测试运行时没有得到顺序输出的缘由是我们运行了10次测试程序,每次都初始化计数器。假如我们把循环放在程序中,它会生成一具顺序列表(假如你不相信我,你能够自个儿尝试)。幸运的是,Sun在其最新版本java6update11中修复了那个咨询题。令人惊奇的是,它那样长时刻都没有被发觉。更新后的函数如下所示:私有静态文件generateFile(字符串s,字符串s1,文件文件)引发异常IOW{长l=LazyInitialization.random.nextLong();假如(l==0x80000000000000L)l=0L;其他的l=数学.abs(l) ;返回新文件(File,(new StringBuilder()).append(s).append(长.托弦(l) ).append(s1).toString());}假如您想懂,CC防御,ibmjava6sr2中也存在相同的bug,然而SR3中基本修复了。回到最初的咨询题,我们得出的结论是,是的,这些类型的缺陷是值得修复的。可预测性和安全性特别少能齐头并进。


DDoS防御

当前位置:主页 > 高防服务器 > 云防护_cdn能谨防ddos吗_怎么解决

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119