四月八号日报

今日学习内容

owasp top10攻击、CC攻击、CDN概念、DNS概念、正则、OSI七层模型、WAF

关于OWASP Top 10

什么是OWASP ?

全称是Open Web Application Security Project,即开放式We应用程序安全项目,是一个开源的,非营利性的全球性安全组织,致力于应用软件的安全研究。

什么是OWASP Top 10?

即10项最严重的Web应用程序安全风险

  • A1-注入:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。
  • A2-失效的身份认证:与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份。
  • A3-敏感数据泄露:许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。
  • A5-失效的访问控制:未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
  • A6-安全配置错误:好的安全需要对应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护这些设置。这包含了对所有的软件保持及时的更新,包括所有应用程序的库文件。
  • A7-跨站脚本:当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
  • A8-不安全的反序列化:不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括:重播攻击、注入攻击和特权升级攻击。
  • A9-使用含有已知漏洞的组件:组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。
  • A10-不足的日志记录和监控:不足的日志记录和监控,以及事件响应缺失或无效的集成,使攻击者能够进一步攻击系统、保持持续性或转向更多系统,以及篡改、提取或销毁数据。大多数缺陷研究显示,缺陷被检测出的时间超过200天,且通常通过外部检测方检测,而不是通过内部流程或监控检测。

关于CC攻击

什么是CC攻击?

全称是Challenge Collapsar,是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法。即攻击者控制某些主机不停地发送大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

防御策略

  1. 取消域名绑定

    取消域名绑定后Web服务器的CPU能够马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,攻击者也会对新域名实施攻击。

  2. 更改Web端口

    一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,可以修改Web端口达到防CC攻击的目的。

关于DNS

什么是DNS?

全称是Domain Name System,作用是根据域名查出IP地址,你可以把它想象成一本巨大的电话本。举个例子:如果你要访问域名baidu.com,首先要通过DNS查出它的IP地址是112.80.248.75。

关于正则表达式

什么是正则表达式?

在编写处理字符串的程序或网页时,经常会有查找符合某些复杂规则的字符串的需要。正则表达式就是用于描述这些规则的工具。换句话说,正则表达式就是记录文本规则的代码。

关于WAF

什么是WAF?

全称是Web Application Firewall,主要功能是拦截入侵尝试,比如SQL注入,XSS跨站脚本攻击,恶意爬虫,扫描器。

SQL注入攻击:可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

XSS攻击:其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

扫描器:扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

原文地址:https://www.cnblogs.com/swtczb/p/11632553.html

时间: 2024-07-31 07:34:12

四月八号日报的相关文章

CSDN日报20170420 ——《开发和产品之间的恩怨从何来?》

[程序人生]开发和产品之间的恩怨从何来? 作者:西乔 霍炬 人和人之间宝贵的信任都去哪了? [区块链]比特币中的软分叉和硬分叉 作者:张童鞋 比特币的软分叉和硬分叉之争由来已久,本文主要总结软分叉和硬分叉的相关知识.通过 BIP34 的具体实施过程说明软分叉的特点.需要注意的是,运行本文所述的 Python 程序事,需要开启比特币核心的 REST 服务.开启方法可以参看比特币开发者参考中的 HTTP REST . [OpenCV]LeapMotion 简单介绍及图形获取 作者:小哲君 之前写过一

CSDN日报20170311——《程序员每天累成狗,是为了什么》

[程序人生]程序员每天累成狗,是为了什么 作者:郭小北 程序员可以投入的资本就是:身体和脑力,说白了都是出卖劳动力换取回报,也就是钱.我们大部分人都是凡人,或许当初是基于兴趣和理想去做一件事,入一门行,但随着阅历的丰富,年龄的增长,责任感的叠加你工作就是为了钱啊,因为在这个物质的社会,你连家都养不了,何来生活的更好? [物联网]Android Things --SDK框架 作者:王玉成 物联网应用开发与手机和平板的应用开发有一些区别,那么Android Things与Android又有哪些差别呢

【android】使用RecyclerView和CardView,实现知乎日报精致布局

完整代码,请参考我的博客园客户端,git地址:http://git.oschina.net/yso/CNBlogs 在写博客园客户端的时候,突然想到,弄个知乎日报风格的简单清爽多好!不需要那么多繁杂的信息干扰视野. 先贴上效果图,左边是知乎日报的,右边是本方案的 本文所使用的ide是androidStudio 首先我们需要在项目中,引入RecyclerView.CardView 在build.gradle的 dependencies 添加两条引用语句,如 dependencies { compi

CSDN日报20170509 ——《互联网时代架构师的职责与思考》

[程序人生]互联网时代架构师的职责与思考 作者:木小鱼 在当下的互联网时代,架构师是互联网行业的热点关键词,人云亦云者居多,那互联网架构师到底是做什么的,如何来评价互联网架构师的优劣呢? 点击阅读全文 [Android]手把手教你构建 Android WebView 的缓存机制 & 资源预加载方案 作者:Carson_Ho 由于H5具备 开发周期短.灵活性好 的特点,所以现在 Android App大多嵌入了 Android Webview 组件进行 Hybrid 开发,但我知道你一定在烦恼 A

CSDN日报20170506 ——《技术人的未来在哪里?》

[程序人生] 技术人的未来在哪里? 作者:stormzhang 首先,我们得先问这么一个问题,单纯的做技术,能不能做一辈子? 点击阅读全文 [大数据]Hadoop 基于 protobuf 的 RPC 的服务器端实现原理 作者:小昌昌 Hadoop RPC 基于即远程过程调用,远程过程调用主要包括两个部分,网络协议和数据格式.Hadoop 根据数据格式,有三种不同的 RPC 实现. 点击阅读全文 [Web 前端]有了它们就能更好的理解 webpack 了 作者:liangklfang 有了它们就能

CSDN日报20170502 ——《程序学徒与导师》

[程序人生]程序学徒与导师 作者:瞬息之间 经验丰富的程序员,就和中世纪的老师傅一样,他们经历了大量的时间犯过大量的错误,积累了很多不可言说的经验价值(另外一个事实是,不少程序员也说不出来). 点击阅读全文 [系统运维]从一个简单的聊天程序 SimpleChat 看 VPN 技术 作者:赵亚 SimpleVPN 写好了以后,感觉比较简单,我觉得只有简单的东西才经得起折腾,才能全民折腾,所以说 SimpleVPN 还不够简单,本文来一个更加简单的,展示一个超级简单的点对点聊天程序,而且还带简单加密

CSDN日报20170409 ——《扯蛋的密码规则》

[程序人生]扯蛋的密码规则 作者:陆其明 在很多很多关于密码的糟糕事情中,你知道最扯的是什么吗?密码规则! 2015年8月11日,我曾在twitter上说过:"在我的有生之年,如果我们没有帮用户解决密码问题,我死后变成鬼,也要缠着你!" 今日我再提让这句誓言,想让它成为互联网上的永久记录.我不知道是否有来世,但我很快就会知道的,我打算如地狱恶魔般出来游荡-- [图形渲染] <Real-Time Rendering 3rd> 提炼总结(一) --全书知识点总览 作者:毛星云

CSDN日报20170321——《给大学生的几条良心建议》

[程序人生]给大学生的几条良心建议 作者:stormzhang 这篇文章希望对更多的还在校园的同学有所帮助与思考,更希望能够消除你们对未来的迷茫与恐慌. [Android 开发]Android图片加载框架最全解析(一),Glide的基本用法 作者:郭霖 我花费了大量的精力去研究Glide的源码和各种用法,相信现在已经可以将它非常好地掌握了,因此我准备将我掌握的这些知识整理成一个新的系列,帮忙大家更好地学习Glide.这个Glide系列大概会有8篇左右文章,预计花半年时间写完,将会包括Glide的

CSDN日报20170219——《程序员的沟通之痛》

[程序人生] 程序员的沟通之痛 作者:胡峰 木讷与沉默 这两个名词似乎已变成了程序员的标签,它们形象地体现了程序员在沟通中的表现.在程序员的世界里,沟通可能包括:与产品经理沟通需求.与同行交流技术.与外行交谈,还有与同事分享工作与生活的趣闻等. 有些程序员在分享趣闻与谈需求或技术时的表现大相径庭,刚才还是一个开朗的小伙突然就变得沉默不语了.沉默有时是不想说,特别在沟通需求时,程序员心里想着:与其扯那么多,哥代码都写完了.不就是一个小功能吗,默默无言,笑而不语的就接下了,想着赶快结束去写代码了.