ddos高防_游戏盾躲藏ip的原理_想法-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > ddos高防_游戏盾躲藏ip的原理_想法

ddos高防_游戏盾躲藏ip的原理_想法

小墨安全管家 2021-05-05 11:16 高防服务器 89 ℃
DDoS防御

ddos高防_游戏盾躲藏ip的原理_想法

我终于有时刻完成我对于最小化攻击面的帖子了。这是第一部分,以防你错过了。首先,快速澄清。我注意到一些对第一篇文章发表评论的读者希翼经过使用各种开辟想法或编码框架来提高安全性。这些基本上有味的切点(我将来大概会写出来),但我在这篇文章中的意图是讨论一具很具体的咨询题,与人们怎么集成第三方代码有关——也算是讲,你导入或链接到里面去但不是自个儿写的东西。正如我前面提到的,开辟人员倾向于在不了解安全含义的事情下将第三方组件"附加"到应用程序中。通常,在威胁建模讨论中,这些组件被掩盖或彻底忽略。我试图用第1部分中虚构的WhizBang库示例来讲明这一点。当集成第三方组件时,开辟人员熟悉API,DDoS高防,但通常不关怀它是怎么实现的。诚然,这算是API的工作原理;您不必在API边界之外使用代码,而且您能够愉快地忽略库中不需要的部分。在过去的问工作中,DDoS防御,我参加过威胁建模讨论,没有人懂某个特定库是否会产生网络流量。"我们只使用API,"他们讲。其实,它是脚够好的,也许没有人关怀它是怎么工作的。这种思维方式关于快速进展是理想的,但关于安全性却存在咨询题。不理解完整的应用程序(而不是您编写的部分)会影响您准确评估其安全状况。web应用笔测试人员爱慕第三方组件也不是巧合——当我们看到"栓接"接口时,我们会特别激动,因为我们懂开辟人员往往会将无关的功能暴露在外。结果通常会产生诸如"我甚至不懂servlet有上传功能"如此的反应一具例子下面是一具与我前几天公布的对于dwr2.0.5的帖子相关的一具很贴切的例子。DWR是一具Ajax框架,具有多种操作模式。在内部,我们使用DWR全部功能的一具子集——具体地讲,我们只使用"plaincall"想法与它交互,所以我们确保经过配置文件禁用了我们不需要的功能。事实证明,在"Doyouhavethingdisabled"检查之前,存在易受攻击的代码路径。事后看来,假如我们花更多的时刻来理解暴露的接口,CC防御,我们能够在不需要的请求模式接触第三方代码之前过滤掉它们,从而减少攻击面。然而等等,你讲。可维护性呢?假如我使用一具时刻点应用程序配置文件白名单,这居然不大概造成与被指责的WAF相同的维护头痛吗?没必要。固然,一种挑选是将引用DWR框架的每个唯一URL都列为白名单,例如。/dwr/call/plaincall/myMethod1/dwr/call/plaincall/myMethod2/dwr/call/plaincall/mymethod3然而每次在应用程序中添加或删除功能时都必须更新白名单。另外,不要忽视安全目标,即最小化暴露的第三方代码的数量。假如我添加或删除列出的url,前提是它们仍然使用"plaincall"想法,这么我每次都会碰到同一具DWR调度程序。我增加了安全性而没有增加任何维护费用。更好的挑选是在J2EE容器中略微收紧URL模式。以下是默认配置:dwr调用器/dwr/*如今,不再允许dwr库处理以/dwr/开头的每个URL,而是能够限制得更严格一些:dwr调用器/dwr/call/plaincall/*在这种配置中,您不再需要担心/dwr/call/someothercodepath。暴露的第三方代码较少,所以减少了应用程序的总体攻击面。(注意:DWR还提供了几个Javascript文件,所以这些URL模式也必须被列入白名单)逻辑扩展即使你不是开辟人员,你也应该思量攻击面。人们向来在下载和安装博客平台,比如WordPress、Movable Type等等,然而有多少人会采取额外的措施来强化他们的安装呢?那个概念与我在本次讨论一开始就提出的操作系统强化类比是一样的。类似地,DDoS防御,人们在安装第三方WordPress插件或Joomla组件时,没有思量到大多数插件基本上由一些随机程序员编写的,他们是插件API的天才,但对安全一无所知?冒着听起来老生常谈的风险,请始终记住,安全惟独在最薄弱的环节才是最强大的。来自Veracode的免费安全教程网络安全威胁手机安全flash播放器安全sql注入攻击crlf注入veracode安全解决方案软件安全测试二进制代码分析应用程序测试vercode数据安全资源数据破坏数据丢失预防数据安全


DDoS防御

当前位置:主页 > 高防服务器 > ddos高防_游戏盾躲藏ip的原理_想法

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119