来自 数据 2021-06-12 00:07 的文章

cdn高防_网站cc防护_方法

cdn高防_网站cc防护_方法

大约一年前,我和一些应用程序开发人员讨论了最近的一次渗透测试。他们告诉我,ddos云防御被骗,他们收到了一份内部备忘录,dns能防御cc攻击吗,上面列出了按严重程度分类的漏洞列表——只有名称。如果你自己从来没有看过渗透报告,你应该知道报告包含的不仅仅是一系列问题。报告提供证据、上下文、描述、测试人员的注释和推荐的解决方案。如果没有这些,你只会有一个令人困惑的单词表。这些开发人员不了解问题所在。更糟糕的是,那些负责人也不明白,所以没有人有时间真正解决问题。可以更准确地说,没有人被给予或者没有时间研究漏洞,然后尝试去学习如何修复它们。我与更多的开发人员进行了交谈,以了解这是否是他们的经验,但不幸的是,事实确实如此。这激发了我最近在CodeMash上的一次演讲。CodeMash是在俄亥俄州Sandusky召开的一个以开发为中心的大型会议,讨论渗透测试的基础知识和一些可用的工具。可以查看完整的演示文稿下图:什么是渗透测试?在安全领域,我们经常提到"红队"(进攻)和"蓝队"(防守)。渗透测试是"红队"的一种形式,在最好的情况下,渗透测试是攻击模拟。测试可能会受到明确允许测试人员执行的操作的限制,但是测试人员将始终尽力在这些限制条件下工作,以模拟攻击者的行为持续时间的红队遵循大多数测试人员使用的相同方法。测试从"发现"阶段开始。这就像主人的捉迷藏。测试人员通常会收到一个IP地址和URL的列表,然后必须确定这些地址上有哪些活动,100m带宽可防御ddos流量,哪些端口和服务是打开的。有了这些信息,他们就进入了"枚举"阶段。将仔细检查端口和服务,以确定它们是什么、版本号和任何其他可以是的学会了。在在这一点上,随着测试进入"扫描"阶段,测试变得更加活跃。诸如Burp、ZAP、Nessus等工具用于扫描和测试应用程序的已知弱点。他们会回到起点,选择一条新的道路,直到他们能想到的一切都用尽为止。然而,这是一个极端的QA测试。虽然QA测试人员的指令可能是确保应用程序在业务用例中按预期工作,但渗透测试人员来到应用程序时并不知道它是什么,也不知道它要做什么。他们的目标是做一些你可能从未期望过的合理的人尝试看看他们是否能让应用程序做一些它从未打算过的事情去吧。那个攻击者的工具集为了执行这个测试,测试人员有一个广泛的工具可供他们使用。一种工具箱初学者工具包以Kali-Linux的形式出现。Kali是Debian的一个版本,由攻击性安全性维护,并预装了许多流行的测试工具。如果您想尝试这里和演示视频中讨论的一些工具,Kali可以帮助您入门。攻击性安全性甚至提供了随时可以导入的VirtualBox和VMware机器。那里也是基于网络的工具,比如肖丹.io还有谷歌。渗透测试通常从OSINT(开源情报收集)开始。osit是我们不能依靠默默无闻来保障安全的一个重要原因。无论一个服务或应用程序有多小或多么隐蔽,它都可以被找到。Shodan和Google使渗透测试人员能够在攻击前对网络进行侦察,但他们也允许其他人偶然发现恶作剧。肖丹是一个自称为物联网的搜索引擎。它就像谷歌,但它返回的是服务而不是网页和文件。它可以用来回答有关特定公司或服务的问题。例如,穿盾cc怎么防御,Shodan告诉我们有超过35000个Mongo数据库可以访问认证。有时候这导致麻烦。谷歌也可以这样使用。使用Google的关键字,如inurl和filetype、testers等,它可以查找敏感信息。在这个例子中,我通过搜索intext找到了一个路由器密码:"password"文件类型:xls测试人员找到一个web应用程序或网站,4层cc防御,他们将使用诸如Burp或OWASP-ZAP之类的工具来寻找可以利用的问题。这些是web代理,使测试人员能够查看GET请求和通常被认为是隐藏的信息。打嗝和扎普都可以自由开始。对于开发人员来说,这些代理就像小提琴手,但是扭曲。这里是一个用于测试应用程序的Burp示例节点.js以及MongoDB,用于服务器端JavaScript注入。我们可以看到JavaScript被注入并显示了JavaScript的响应。Burp可以在将请求发送到应用程序.ZAP对于渗透测试人员来说是一个很好的工具,但对于对开始应用程序安全性感兴趣的开发人员来说也是很好的工具。它由OWASP作为一个开源项目进行维护,并且设计为易于任何人使用。你可以提供一个网址,然后点击"攻击"按钮开始寻找低挂水果。吃你不必等到下一次渗透测试,看看像Shodan、Google、Burp和ZAP这样的工具能找到什么。亲自尝试一下,看看你能从组织中找到什么。您将主动发现问题并减少组织开发和安全团队的工作量。一次解决一点问题要比一年一次抽出时间和资源来解决一个大问题要容易得多。此外,它还向组织中的更多人介绍了安全性,并有助于促进更安全的实践。这就像童子军关于森林的咒语,但是有了电脑。离开你的人际网络总是比你发现它的方式更好。你不需要一次解决所有问题,但是坚持这样做,质量和安全性自然会提高。