来自 安全 2021-10-11 13:22 的文章

ddos高防_网站防御查询_怎么办

ddos高防_网站防御查询_怎么办

.tbl20200211 td{边框:1px实心黑色;}最近,Checkmarx安全研究团队调查了在线音乐平台SoundCloud。根据他们的网站,"作为世界上最大的音乐和音频平台,SoundCloud让人们发现并享受来自地球上最多元化的创造者社区的最佳音乐选择。"这项调查是Checkmarx进行的一项更广泛研究的一部分,目的是检查领先在线平台的API安全状况。在SoundCloud的API端点中发现了多个漏洞,包括:破坏身份验证和用户枚举-可能导致帐户接管缺乏资源限制和速率限制-可能导致拒绝服务安全配置错误和输入验证不正确-可能导致服务被利用Checkmarx研究团队负责地向SoundCloud安全团队披露了本报告中发现的信息,他们非常合作,优先考虑立即修补这些问题。中断身份验证(CVSS 7.5)CVSS得分:7.5-CVSS:3.1/平均:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:Napi-v2的/sign-in/password终结点。soundcloud.com网站未根据失败的身份验证尝试实施正确的帐户锁定。它完全依赖于速率限制,数据库防御ddos,可以通过使用代理、设备标识和签名的多种组合来规避。基于端点响应,高防cdn空间,可以自动执行暴力攻击,例如凭证填充,以获得有效的访问令牌。请注意,此报告中包含的用户枚举弱点可用于获取有效的用户帐户标识符(图1)。图1:凭证填充会话结合这两个问题,攻击者可能能够接管用户帐户。建议基于失败的身份验证尝试实现帐户锁定机制。身份验证终结点应该实现更严格的速率限制策略。工具书类API2:2019中断身份验证-OWASP API安全性前10名凭证填充帐户锁定-OWASP身份验证备忘单《弱闭锁机构试验》(OTG-AUTHN-003)用户枚举(CVSS 5.3)CVSS得分:5.3–CVSS:3.1/平均:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/sign-in/identifier和/users/password_都会重置api-v2的端点。soundcloud.com网站可用于枚举用户帐户。在这两种情况下,端点根据请求的用户帐户标识符是否存在而提供不同的响应(图2和图3)。图2/登录/标识符请求/响应图3:/users/password_reset request/response说明此问题可以与此报告中包含的已损坏的身份验证弱点结合起来,以接管用户帐户。建议避免公开/sign-in/identifier端点,将单个HTTP请求中的登录与失败尝试的一般错误消息组合在一起。尽管/sign-in/password端点看起来是一个很好的候选者,因为它同时包含了identifier和password属性,它不能满足一般的错误消息要求。工具书类身份验证和错误消息-OWASP身份验证备忘单缺乏资源限制(CVSS 5.3)CVSS得分:5.3–CVSS:3.1/平均:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/跟踪api-v2的终结点。soundcloud.com网站没有实现适当的资源限制,根据给定的查询字符串ids参数返回任意数量的数据。由于没有对IDs列表中的tracks id的数量执行任何验证,所以可以操纵列表在单个请求中检索任意数量的tracks。SoundCloud WebApp发出的请求在IDs查询字符串参数中包含16个track id,但是通过操作列表,我们能够在一个请求中检索多达689个曲目(图4)。图4:在单个请求中检索689个磁道下表比较了响应的大小和时间: #轨道响应长度(字节)响应时间(s)16417010233号68919475642074年 虽然没有关于请求路径的最大长度的规范,但它通常由HTTP服务器强制执行。对于任意长路径,ddos攻击技术与防御方法研究,API返回413请求实体过大错误(图5)图5:413请求实体过大错误还请注意,cc防御源代码,此端点不需要身份验证/授权(图6)。图6:无授权头这可用于实施分布式拒绝服务(DDoS)攻击:使用特制的跟踪ID列表最大化响应大小,同时从多个来源发出请求以耗尽应用层的资源,将使目标的系统服务不可用。建议要缓解此问题,受影响的端点应:在IDs参数中定义允许的最大轨迹ID数;根据每个请求的既定限制验证ids列表长度;限制在单个请求中获取和返回的磁道数;如果需要,实现分页。工具书类API4:2019资源短缺和费率限制速率限制-OWASP拒绝服务备忘单OWASP输入验证备忘单缺乏资源和费率限制/me/play history/tracks端点似乎没有实施速率限制,允许大量的POST请求。下表突出显示了从单个计算机/IP地址发出的请求数。我们考虑那些HTTP响应代码为204的"成功请求"。 #请求成功率持续时间(s)1520100%21世纪 尽管我们能够成功地执行1520个请求,但是对同一个端点的GET请求只返回489个磁道(图7)。图7:GET/me/play history/tracks?limit=500要么在响应中使用next_href URL,要么通过操作limit查询字符串参数,我们总是得到相同的489个轨迹(图8)。图8:GET/me/play history/tracks?limit=1000注意,将查询字符串参数limit更改为1000,我们得到的响应略有不同:现在next_href为null。虽然我们无法证实,但这可能突出了缺乏资源限制的问题。缺乏速率限制可能会损害系统的可用性,使其容易受到DoS攻击。从业务角度来看,不限制对该端点的请求量可能会损害数据完整性,因为它可能会创建有偏差的跟踪统计信息。建议定义适当的费率限制。在检索要返回的轨迹之前,验证是否验证了限制。工具书类API4:2019资源短缺和费率限制速率限制-OWASP拒绝服务备忘单安全配置错误使用已使用的permalink向/users/{user_id}发出PUT请求将返回未处理的Java异常(java.lang.IllegalStateException),个人电脑ddos攻击防御,它公开有关正在使用的组件/版本的信息(图9)。图9:Java异常下表列出了公开的信息以及最新版本: 软件使用的版本最新版本普西乘客6.0.4款6.0.4款Nginx公司1.17.31.17.5 攻击者可以利用此信息攻击系统。建议虽然这些软件/版本在当时还没有发现安全问题或漏洞,但建议您:优雅地处理异常,返回适当的HTTP响应;将Nginx更新到最新版本,因为它包含了几个bug修复。工具书类API7:2019安全配置错误OWASP错误处理Nginx变更日志输入验证不正确api-v2的/tracks/{track_urn}端点。soundcloud.com网站体裁和长度属性不能正确执行。下表比较了SoundCloud WebApp和API长度限制: 财产网络应用程序美国石油学会描述400065650标题100255体裁100255 图10:65650个字符长描述对于超过65650个字符的描述,服务器返回500个内部服务器错误(图11)。图11:为title(图12)和genre(图13)设置description时出错,长度超过255个字符的字符串被截断。图12:256个字符长的标题图13:256个字符长的genreise直接向API服务器发出请求,攻击者可以控制额外的61960字节(总共66160字节)。建议API端点不应依赖于SoundCloud WebApp来执行输入验证。相反,它应该使用一个集中的例程执行输入验证,使用与WebApp相同的验证规则。工具书类OWASP输入验证备忘单OWASP输入验证测试披露和事件摘要当这些漏洞首次被发现并得到确认时,Checkmarx研究团队负责地将他们的发现通知SoundCloud。SoundCloud的回应"在SoundCloud,用户帐户的安全性对我们极为重要。我们一直在为用户寻找增强平台安全性的方法。我们感谢Checkmarx伸出援手讨论他们的发现。"披露时间表2019年11月11日:向SoundCloud的安全工程部发送完整报告2019年11月11日:SoundCloud安全工程部确认收到报告2019年12月13日:SoundCloud Fix–防止错误响应中的信息泄漏2020年1月30日:SoundCloud修复-提高密码暴力尝试的速率限制注意:在SoundCloud确认已发布修复程序后,本出版物的发布与SoundCloud进行了协调。最后的话SoundCloud所展现的专业精神也不容忽视。他们很高兴与他们合作,因为他们的反应迅速,彻底和及时。这种类型的研究活动是Checkmarx安全研究团队持续努力的一部分,目的是推动提供在线服务的组织在软件安全实践中进行必要的改变,以提高所有人的整体安全性。应用程序安全警告应用程序安全漏洞检查马克思安全研究团队移动应用程序安全OWASP前10名API研究生物最新帖子