来自 资讯 2021-10-12 00:06 的文章

防御ddos_高防虚拟主机_原理

防御ddos_高防虚拟主机_原理

除非你去年秋天生活在一块石头下,否则你听说了iCloud的一次重大黑客攻击,该黑客在网上发布了很多名人的裸照。事实上,有人可以侵入私有云,窃取全球网络用户的敏感数据。 这不是唯一的一次类似的剥削。如果有恶意的人在Google+上发现了另一个类似的漏洞,那么可能会有一批类似的被盗照片。 幸运的是,发现它们的黑客是一个白帽,并为好的一方服务。本·海亚克为好的一面而努力,我们的Google Plus私密照片也从窥探者手中保存了下来。 Salesforce的高级安全工程师Ben最近发现了一种攻击方法,成功的攻击会对用户和网站造成重大威胁。 同源方法执行 在自己研究一些网络应用程序时,本注意到有些应用程序使用多个窗口和框架进行交互。"如果打破了预期的流程,"本说,"交互会导致一个错误。"他没有多想太多,直到他在谷歌上看到了同样的问题,并在OAuth弹出窗口中看到了这个问题。就在那时,他意识到这可能是一件大事。 分解同源方法执行漏洞 同源方法执行攻击,也被称为某些攻击,是一种web应用程序攻击,通过"强迫受害者执行端点域中任何页面的任意脚本方法"来滥用回调端点的概念,Ben解释道。简言之,一些攻击伪造了windows或框架的设置,以便将用户重定向到文档,从而导致恶意web功能的执行。根据受到攻击的应用程序的不同,效果也不同。例如,在本展示了他的发现之后,另一个白帽Jakub Zoczek发现微软的私人社交网络Yammer很容易受到攻击。 攻击流程如下: 受害者访问恶意链接该链接会导致用户的浏览器打开包含恶意代码的新窗口或框架然后,该应用程序允许易受攻击的回调URL呈现攻击的目标文档,并且可以快速执行,以便受害者不知道发生了什么应用程序被"忽悠"到认为两个站点都是可信的,而应用程序现在可能被劫持,以为所有操作都是由最终用户完成的 要深入了解同源方法执行攻击,请查看Ben的研究论文。 googleplus同源方法执行攻击 Ben发现,被利用的一个更严重的漏洞是使用Google Plus。使用谷歌照片时,你可以选择自动备份图片到你的私人收藏。谷歌还拥有一个名为Google Picker的服务,允许用户与第三方网站共享他们的媒体。而使用Google Picker,服务器如何防御cc攻击,本有能力窃取某人的私人照片。 攻击情况如下: 同源政策和JSONP 由于某些攻击是由于使用同源策略的网站中的弱点而存在的,让我们快速回顾一下安全策略。由于需要将彼此无关的站点提供的内容分开,因此需要使用同源策略;否则,可能会导致一个站点向另一个站点泄漏机密信息,我们将在这次攻击中看到这一点。 同源策略(SOP)旨在防止从一个域加载的脚本操纵或窃取另一个域中的文档属性。 该机制由您的浏览器强制执行,只允许一个域上的脚本访问另一个域上的数据,前提是这两个网页的来源相同。Origin与URL方案、主机名和端口的组合有关,如右图所示。换句话说,SOP的目标是防止您的详细信息泄露到与您所使用的应用程序无关的站点。 但是在某些情况下,应用程序需要克服SOP,例如当您通过OAuth授权站点时。在去年的BlackHatEurope的BlackHatEurope上,Ben在他的演讲中说,使用Padding的JavaScript对象标记方法之一是"为一些攻击打开后门"。开发人员使用JSONP来克服SOP,允许不同的域相互通信。在这种情况下,有些人最有可能出现。 如果没有正确使用JSONP,则可以操纵回调参数(如OAuth),从而在易受攻击的站点上执行任意脚本方法。 深入了解:观看我们关于JavaScript中正在酝酿的安全风暴的谈话一些受害者会怎么样 由于攻击受到目标易受攻击的web应用程序所暴露的功能的限制,因此其影响因应用程序而异。然而,总的来说,攻击的最终结果包括"点击、表单提交、表单输入值篡改、JavaScript函数等",Ben在他的研究论文中写道。 与XSS攻击一样,有些攻击只影响最终用户,cdn高防和安全证书一样,阿里云云盾防御ddos,但如果最终用户恰好是系统管理员或类似用户,则某些攻击的影响可能会对站点造成不利影响,从而使攻击者能够访问整个应用程序。 但是,与XSS或CSRF攻击不同,有些攻击"更多的是操纵表面,而不是使用特殊的有效载荷或滥用特定的易受攻击的web操作,"Ben说。除此之外,由于一些漏洞劫持会话使用客户端方法执行来服务于其攻击,因此即使是CSRF令牌也无法保护最终用户免受攻击。 如何影响您的网站 "许多web应用程序开发人员使用‘同源’弹出窗口/框架来交互和执行固定和/或动态回调方法,"Ben说(某些攻击的)关键是操纵预期的‘同源’流,因此,使用它们自己的代码来对付它们。" Ben在他的论文中列出了应用程序易受此攻击的四个原因: 如果应用程序需要对第三方服务器资源(如OAuth)进行"安全委派访问"如果当前应用程序显示为不丢失当前内容,则会打开弹出窗口如果应用程序开发人员使用更简单但不安全的SOP旁路如果开发人员缺乏安全意识 这些与第三方服务的交互,特别是OAuth对话框,允许用户使用用于其他web应用的登录数据登录,是使用同源方法执行攻击的主要原因。一些攻击真正令人不安的方面是,若一个域易受攻击,则同一站点内的所有页面也都易受攻击。 深入了解:阅读另一个黑客是如何发现安卓系统的主要安全漏洞的,因为网站的弱点围绕着同一来源的政策 如何避免Web应用程序中的某些漏洞 为了避免在您自己的web应用程序中出现一些攻击,Ben建议开发人员避免使用"执行回调或与不同窗口(或其他)浏览上下文交互时使用任何用户数据" 目前,针对使用JSONP的网站的某些攻击,高防cdn测试网站,最好的三种防御措施是: 对所有回调端点使用静态函数名服务器端的白名单回调注册回调 为了配合第三种减轻易受攻击的方法,本正在研究一种在不久的将来可用的方法。在过去的几个月里,Ben已经开始研究SOMEguard,一个用JavaScript开发的客户端白名单解决方案,以保证对某些问题的保护,同时仍然允许像OAuth这样的动态回调。当它发布后——他将在未来六个月内拍摄——SOMEguard将免费为所有人使用和保护他们的网站免受某些人的攻击 本的旅程 开始是对他成长过程中的旧电脑和显卡的失望,最终成为本走向安全和一些攻击的开始。  本对电脑提供的低质量游戏不感兴趣,他开始在引擎盖下修修补补,甚至在他还不知道它叫什么的时候,他就开始拆解和逆向工程网络游戏了。 他说:"动力和动力来自于发现越来越多的缺陷,这些缺陷允许我通过开发开发者没有想到的漏洞来诱骗私人游戏服务器创造特殊的游戏内能力。"。 下一级黑客攻击 他对计算机的兴趣使本在义务兵役期间成为精英数据计算机网络通信团队的领导者,在那里他学到了更多关于信息安全的知识,一旦完成,便开始了白帽黑客攻击。 本说:"我一发现InfoSec市场,逆向工程的经验和创造性思维帮助我取得了一些成就,比如黑客攻击Facebook、PayPal、eBay、Twitter、Dropbox、Gmail,并接触到了谷歌顶级的0x0a安全专业人士。"。 他负责地披露了数十个网站的漏洞,甚至在2012年的《纽约邮报》上刊登了一篇文章,仅在那一年就获得了超过10000美元的漏洞奖金。 本现在是Salesforce的高级安全工程师,他以破坏系统和代码为生,并试图创建隐藏在Salesforce平台下的web应用程序攻击。他经历了一段令人沮丧的日子,为了寻找纠结,他把程序代码撕成碎片。现在扭结只是稍微更危险一些。 你应该从一些人身上拿走什么? 有些是恶意攻击,但不是唯一一种。很明显,攻击至少和大多数XSS和CSRF漏洞一样危险,我们还有很多工作要做,不仅要确保未来的应用程序,还要继续保护已经在使用的应用程序 但是像这样的攻击和iCloud黑客攻击清楚地表明,应用程序的安全性还有很长的路要走,我们都需要确保我们自己的应用程序安全

,通过cdn防御ddos