来自 应用 2021-04-08 13:15 的文章

高防ip阿里_怎么办_北京斗地主高防

高防ip阿里_怎么办_北京斗地主高防

随着针对web应用程序的攻击不断增加,网络安全团队自然会优先消除高风险威胁,例如SQL注入和跨站点脚本(XSS)漏洞。另一方面,许多网络安全团队选择忽略或延迟对其web应用程序中低级安全漏洞的修复。不幸的是,这不是一个明智的策略。低估解决低级安全问题的重要性可能会给组织带来重大问题。为什么?通过利用看似微不足道的漏洞组合,攻击者有时会打开一个巨大的安全漏洞,让他们造成极大的伤害。在本文中,防御ccddos,我将演示这样一个场景,展示如何利用几个未解决的低级安全问题,攻击者可以获得对流行web的完全管理员访问权限应用程序。三在MyBB中发现的低级问题在最近对MyBB的审计中,我发现了三个低级安全问题,如果一起被利用,可能会让黑客完全控制这个人们用来创建论坛的开源应用程序。最新版本mybb1.8.7已经部分解决了这个问题,ddos防御整体方案,因此用户不再容易受到所描述的危险的影响给你。我的宝贝1.8.6包含以下次要的安全问题,如果单独评估它们,这些问题看起来微不足道。"GET"和"POST"方法没有区别,"GET"和"POST"方法是最常见的用于发出HTTP请求。从安全角度来看,建议始终使用POST方法提交敏感数据。有兴趣详细了解"POST"和"GET"方法之间的安全性差异的人应该阅读本文,这篇文章将详细介绍细节.MyBB在其ACP(管理员控制页)采用"POST"方法提交敏感数据,如添加用户、web应用程序设置和数据库备份。然而,web应用程序并没有严格区分"POST"和"GET"请求,ddos防御整体方案,尽管它被设计为在默认情况下对某些类型的敏感请求使用"POST"方法,例如添加"administrator"用户.POST/mybb/上传/管理/index.php?module=user users&action=add HTTP/1.1主机:yourhost用户代理:Mozilla/5.0(Windows NT 6.1;WOW64;rv:44.0)Gecko/20100101 Firefox/44.0 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8接受语言:en-US,哪些方法可以防御ddos攻击,en;q=0.5接受编码:gzip,华为云ddos基础防御,deflate Referer:?module=user users&action=add Cookie:acploginattempts=0;adminsid=543823e3302beac5eadb8ac4eb14d0ab连接:关闭内容类型:application/x-www-form-urlencoded Content Length:186Data:my_post_key=ee915bd1984d830b37cf1eff81e1fd2f&username=admin2&password=password%21&confirm\\ password=password%21&email=test%40qualys.com&usergroup=4&additionalgroups%5B%5D=4&displaygroup=4However, 您可以将"POST"请求更改为"GET"方法。应用程序将允许"GET"请求通过,并在服务器的数据库中添加一个新的管理员用户。这清楚地表明web应用程序不区分"GET"和"POST"方法.GET/mybb/上传/管理/index.php?module=user users&action=add&my_post_key=ee915bd1984d830b37cf1eff81e1fd2f&username=admin2&password=password%21&confirm帴password=password%21&email=test%40qualys.com&usergroup=4&additionalgroups%5B%5D=4&displaygroup=4HTTP/1.1Host:yourhost用户代理:Mozilla/5.0(Windows NT 6.1;WOW64;rv:44.0)Gecko/20100101 Firefox/44.0 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8接受语言:en-US,en;q=0.5接受编码:gzip,deflate Referer:?module=user users&action=add Cookie:acploginattempts=0;adminsid=543823e3302beac5eadb8ac4eb14d0ab连接:closeNow,有人可能会说,这个问题本身并不构成潜在的风险,因为"GET"和"POST"请求都不会在"my_POST_key"参数中没有有效值(my_POST_key充当CSRF令牌角色);而且无法伪造此参数值。但是这个小问题可能会升级为高级问题在暴露了第二个低级别的漏洞之后以下。数据在CSRF(跨站点请求伪造)验证之前进行处理如果您通过删除URL中的my_post_key参数来修改"GET"请求,则会转换并发送"GET"请求。令人惊讶的是,"GET"请求被部分处理,伪造的值被解析到响应主体中的用户输入字段中,尽管请求实际上并不经过服务器.GET/mybb/上传/管理/index.php?module=user users&action=add&username=admin2&password=password%21&confirm\u password=password%21&email=test%40qualys.com&usergroup=4&additionalgroups%5B%5D=4&displaygroup=4HTTP/1.1Host:yourhost用户代理:Mozilla/5.0(Windows NT 6.1;WOW64;rv:44.0)Gecko/20100101 Firefox/44.0 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8接受语言:en-US,en;q=0.5接受编码:gzip,deflate Referer:?module=user users&action=add Cookie:acploginattempts=0;adminsid=543823e3302beac5eadb8ac4eb14d0ab Connection:close当检测到CSRF令牌无效或丢失时,健壮的服务器应阻止请求并禁止解析伪造值。尽管在我的应用程序中输入的u值仍然是伪造的,但是在这个u字段中输入的值仍然是伪造的请求。单击"劫持"漏洞此应用程序中缺少点击劫持对策是另一个安全问题。这是棺材上最后一颗钉子。利用这个漏洞,ACP页面可能被攻击者陷害,他或她可以诱使受害者点击某个东西不经意间。收获在利用所有这些小的安全问题后,通过使用这些漏洞管理访问,这就像从婴儿身上拿走糖果一样容易让攻击者获得管理员访问权限。下面的部分是一个简化的概念证明,以演示获得管理员是多么容易进入。证明管理员用户登录到他或她的MyBB应用程序并收到来自攻击者的电子邮件或评论。电子邮件或评论包含链接并用以下内容对链接进行编码。代码是直截了当的:它通过一个伪造值的链接来构建ACP页面宽度:1200px;高度:900px;位置:绝对;顶部:0;左:0;过滤器:alpha(不透明度=50);不透明度:0.1;}