网站防护_ddos攻击谨防_优惠券-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > 网站防护_ddos攻击谨防_优惠券

网站防护_ddos攻击谨防_优惠券

小墨安全管家 2021-05-03 14:08 网站防护 89 ℃
DDoS防御

网站防护_ddos攻击谨防_优惠券

开放式Web应用程序安全项目(OWASP)自2003年以来向来在公布其十大常见风险列表。OWASP 2017年前10名是一长串前10名名单中最新公布的。这是文章的第二部分。假如你还没有,先看看第一部分!OWASP 2017年前10-6:安全配置错误一段时刻以来,安全配置错误向来列在名单上。这大概是一具棘手的难题,取决于你的应用程序有多复杂。工作原理安全性错误配置有两种类型:打开漏洞的配置和未充分利用可用资源的配置。配置是一具广泛的主题。于是在那个地点特别难涵盖所有大概的事情。然而,您能够在应用程序中寻找某些模式。不修补系统是配置的一部分,大概会使您的系统受到攻击。XXE算是一具特别好的例子。假如你更新了你的XML解析器,这么你应该特别好。假如没有,你就特别脆弱。由于配置错误,公开的泄漏敏感信息的S3存储桶处于打开状态。另一方面,有时有一些想法能够使您的应用程序更安全,但您大概没有使用它,甚至没故意识到它。在那个地点,对所选语言和框架的深入了解很重要。我会给你一具好的挑选,好的配置。你能帮啥忙首先,列出一具简单的列表,列出您能够做些啥来关心消除配置错误:不要安装任何你不需要的东西使用诸如Puppet和Chef之类的自动化来创建具有已知良好配置的环境使用可靠的网络分割,如此攻击者就不大概有自由统治权,假如他们的确进入尽大概地自动化测试,以确保您的配置是正确的。修补软件和依靠项使用可用的安全功能阅读框架的相关文档注意自动生成代码中的任何配置注释和提示(提示:检查注释)让我们介绍一些安全特性,这些特性将有助于使您的配置坚如磐石。首先,经过HTTPS为您的web应用程序提供服务。无论你有啥内容,都能够经过HTTPS服务。假如用户经过HTTP请求,则将请求重定向到HTTPS。每个用户都应该得到HTTPS默认提供的隐私和完整性。也能够使用扫瞄器安全标头。扫瞄器安全标题向客户端提供有关怎么与站点交互的明确讲明。假如使用得当,安全标头能够防止很多风险。HTTP严格传输安全(HSTS)告诉扫瞄器在连接到站点时只使用HTTPS。这是爱护敏感数据安全的一具特别好的想法。然而,在使用hst时要小心,因为假如操作不正确,大概会堵塞站点。X-FRAME-OPTIONS头阻挠其他站点使用框架嵌入您的站点。这是防止点击劫持攻击的有效想法。另一具密钥安全头是内容安全策略(CSP)。这特别好,因为你能够准确地告诉扫瞄器允许从哪里加载你的内容。CSP是防止点击劫持和其他攻击的另一具特别好的想法。假如你使用节点.js,看看头盔。它提供了一种在应用程序中包含安全标头的简单想法。安全配置错误是一具棘手的咨询题,但并非不会解决。加倍努力把那个从名单上除掉。OWASP 2017年前10名-第7名:跨站点足本(XSS)XSS是另一具从一开始就存在的风险。这方面有好消息。2013年,XSS在这份榜单上名列第三。如今,它基本落到了第七位。然而,还能够做更多的工作来将XSS从前10名中抹去。工作原理当扫瞄器将用户操纵的数据视为代码时,会发生XSS。它有三种口味。反射的XSS是指未经验证的用户输入包含在页面的输出中时。假如您的页面以任何方式将用户输入的数据添加到页面的DOM中,则有大概浮上XSS反射。当用户输入存储在数据库中,CC防御,接着在未来呈现到页面上时,就会浮上存储的XSS。例如,攻击者将XSS攻击作为评论添加到论坛中。当另一具人访咨询该页面时,攻击者的代码在受害者的扫瞄器中运行,大概会在不知情的事情下将受害者的会话发送到攻击者的服务器。domxss是XSS的较新版本,当用户操纵的数据被发送到动态更新页面的不安全JavaScript api时就会浮上。想想Angular和React JS等框架中使用的模板。这些能够用来攻击。你能帮啥忙XSS在内容进入扫瞄器时被编码阻挠。这将迫使扫瞄器将任何讨厌的代码呈现为文本,而不是将其作为代码执行。很多框架默认编码,包括React JS和Angular。有一些限制和函数是不安全的,以放置未经验证的数据。查看文档,了解这些框架的XSS爱护的限制。了解数据将流向何处以及怎么在应用程序中传输。注意那些进入数据库并用于将内容呈现到页面的数据。这些数据需要与使用它的上下文相适应的验证和编码。使用内容安全策略也是操纵XSS的一具特别好的想法,因为您将定义足本和其他资源的来源。OWASP 2017年10强-8:不安全的反序列化序列化是用于将代码对象转换为更易于经过网络发送的形式的过程。咨询题发生在它到达目的地并返回到对象时。工作原理反序列化是一具要紧咨询题,它大概导致权限攻击和远程代码执行的提升。当客户端序列化应用程序数据并将其发送到服务器时,攻击者能够看到它。假如攻击者注意到您序列化对象的格式,DDoS防御,这么您就有苦恼了。序列化数据需要告诉服务器它是啥类。假如反序列化程序只信任此值,攻击者就能够强制应用程序从任何类构建对象,甚至在对象重建后对其执行想法。JSON也能够用于这些攻击。看看那个视频,看看一具特别酷的攻击,它使用JSON反序列化来对.NET应用程序任意在服务器上运行代码。你能帮啥忙不安全的反序列化是另一具漏洞,在下一具前10个列表出来时,它大概会消逝。以下是一些你能够采取的具体措施来防止它。白名单允许应用程序反序列化的类假如遇到任何不允许的类,请记录下来在序列化对象上使用数字签名以防止篡改和伪造请求确保您使用的反序列化库是最新的关于Python用户:不要使用Pickle有味的是,Oracle打算放弃Java中的序列化,如此可能能够从列表中消除那个漏洞(虽然它仍然存在于其他语言中)。在那之前,以上步骤将关心你保持你的应用程序的安全,CC防御,并有望将此风险永久从列表中剔除。OWASP前10名2017–9:使用具有已知漏洞的组件我只需要讲一具词来介绍那个风险:Equifax。工作原理我们的软件越来越多地堆积在框架和开源库之上。不幸的是,这也增加了应用程序的风险。你的应用程序运行在一堆你无法操纵的代码上。假如您所依靠的软件中存在漏洞,您将经过该软件受到攻击。Equifax漏洞源于他们使用的Struts框架中的一具漏洞。之后,攻击者进入网络,找到了皇冠珠宝。别让这种事发生在你身上。你能帮啥忙你不能的确停止使用别人的代码。费用太高了。你能做的最好的算是只使用你需要的东西。跟踪所有依靠项。创建一具可靠的补丁治理策略,如此依靠关系是最新的。使用诸如软件组合分析(SCA)如此的工具,它不仅能够检测直截了当依靠关系中的漏洞,还能够检测它们的依靠关系中的漏洞—多个级别的漏洞。OWASP前10名2017–10:日志记录和监控不脚最终,我们没有脚够的日志记录和监视。这是一具新加入的名单,与其他风险不同。工作原理当你的日志记录和监控不够好时,你不大概懂啥时候有人在攻击你。不幸的是,一家公司平均需要197年的时刻才干懂自个儿被违反了天。那个特别大概是因为日志没有记录正确的情况,正确的人没有看到正在发出的警报。这不是个好地点。你能帮啥忙确保你的日志是实用的,CC防御,有人看到了正在发生的情况。以下是一些指导原则。记录所有与安全相关的信息,如登录失败和访咨询操纵失败。把你的日志发送到一具集中的地点,如此就能够分析异常活动。对应用程序中的高价值和高风险功能使用审核跟踪确保你懂啥时候你的应用程序中发生了不行的情况。然而,请记住,您不应该使用过多的工具。你不想在不必要的事情下大大增加你的攻击面。更改下一具列表开辟人员能够阻碍下一具OWASP前10名名单。了解这些风险。学会怎么预防。努力改变2020年发布的名单。假如我们改变名单,那就意味着有了积极的变化。假如我们改变名单,就会有发展。于是让我们改变下一具列表。为您的应用程序更改它。为你的公司换。为您的客户更换。假如你不懂该如何做就伸出援手。我们特别乐意帮忙。


DDoS防御

当前位置:主页 > 网站防护 > 网站防护_ddos攻击谨防_优惠券

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119