来自 安全 2021-10-12 03:14 的文章

抗ddos_阿里云高防ip黑洞_快速接入

抗ddos_阿里云高防ip黑洞_快速接入

电子商务和在线交易的急剧增长使应用程序安全成为首要任务。直到最近,ddos防御ip,SSL和TLS协议才是在线安全的基准。当英国安全公司Random Storm揭露了这个令人心碎的漏洞时,一切都改变了。这个主要的漏洞只是削弱了曾经可靠的OpenSSL技术。自2011年引入该漏洞以来,已有数百家网站面临风险。损坏程度尚不清楚。数以百万计的密码、用户名和信用卡号码可能因为这一漏洞而被泄露。所有CISO和安全主管都在忙着重新配置网络,更改敏感账户的密码。现在三分之二以上的服务器完全依赖于OpenSSL协议作为其安全主干,这种恐慌是有道理的。什么是心血?CVE-2014-0160因其位于OpenSSL在心跳扩展(RFC6520)中TLS实现中的位置而被昵称为Heartbleed,它被认为是危险的,因为它可以在不被检测的情况下窃取数据和身份。该漏洞使黑客能够读取用户和易受攻击网站之间的所有通信,即使这些通信是加密的。原因是OpenSSL依赖于所谓的"密钥"来加密和解密通信。与现实世界进行类比,考虑一个锁着的公文包。储物柜确保公文包内的数据不会被人窥探。公文包和钥匙夹只能打开公文包的文件。数字通信也是如此——在这种情况下,不能读取文档就等于加密了数据。幕后流血从技术上讲,ddos防御用诠释,让我们深入了解一下OpenSSL是如何工作的,并查看相应的漏洞。在OpenSSL的Heartbeat协议中,客户机向服务器发送一个请求,以读取消息中的一定数量的数据。它向服务器发送需要读取的字节数(64k)和数据本身。然后,服务器读取客户端指定的消息中的确切数据量。[想看看你的网站是否"心痛"?–单击此处]不过,当黑客发送消息,指定要读取的字节数,但没有数据时,就会出现这个问题。然后,ddos防御设备评测,服务器识别出需要读取一定数量的数据,但是由于服务器没有接收到任何要从客户端读取的数据,而是从进程内存中读取这些数据并将其发送回客户端。这就是问题所在:来自进程内存的数据还包括通信"密钥"。最终,ip防御ddos攻击,黑客获得了通信密钥,因此可以读取用户与其交互的网站之间的任何通信,即使通信是通过加密的通道进行的。雅虎和心血-一场安全灾难全球第二大电子邮件提供商、Tumblr所有者、互联网超级大国雅虎(Yahoo)已经证实,由于该漏洞,其数据遭到泄露。这是在安全研究人员斯科特·加洛韦(Scott Galloway)运行他私人编写的心血脚本并在短短几分钟内收集到200个用户名和密码之后做出的供认。雅虎官员表示,他们的开发者已经修复了雅虎邮件、雅虎财经和雅虎搜索等主要服务的漏洞。但迄今为止,雅虎用户的具体指示尚未公布。好消息是,谷歌、推特、Facebook和Dropbox等其他大型网站没有上述漏洞。如何避免心血?企业可以通过查看其服务器应用程序代码并确保:服务器只从干净的内存中读取。这意味着要防止服务器读取可能包含敏感数据的"未初始化"代码。确保密钥在使用后被销毁。由于黑客能够获得密钥,我们知道OpenSSL的实现方式使得密钥在内存中停留的时间过长。然而,密钥是服务器可以保存的最敏感的数据块—它们存储的时间越长,ip防御ddos,暴露的风险就越大。请随时与我们的读者分享您的心血经验和诀窍。请在下面给我们留言。 心碎心碎生物最新帖子莎朗·所罗门莎朗·所罗门的最新帖子物联网(IoT)-破解我的军队-2016年3月14日静态代码分析工具-AppSec检查表-2016年3月3日你想知道的关于HTML5安全的所有信息-2016年2月15日