来自 应用 2021-10-11 21:29 的文章

ddos防御攻击_ddos防攻击软件_怎么办

ddos防御攻击_ddos防攻击软件_怎么办

OpenSSL项目本周发布了一系列补丁来对抗最近发现的6个漏洞,其中包括两个高严重性漏洞,攻击者可以解密HTTPS流量,在易受攻击的服务器上执行恶意代码,甚至可能导致服务器崩溃。具有讽刺意味的是,其中一个缺陷实际上是在不经意间实现的,它是2013年发现的幸运13缺陷修复的一部分。 虽然不会像心血虫或者最近的溺水攻击那样引起恐慌,但是OpenSSL中的任何漏洞都应该引起一些骚动,如果仅仅是因为三分之二的互联网使用了这个库。因此,如果您正在使用OpenSSL,而您还没有修补,是时候了。停止阅读,下载更新-然后回来阅读为什么你需要。 以下是您需要了解的最新OpenSSL漏洞:CVE-2016-2107是第一个高严重性漏洞,允许中间人攻击,允许使用某些密码对密码和其他敏感数据进行解密。这是在前面提到的幸运13漏洞补丁中引入的缺陷。 CVE-2016-2108是OpenSSL中修补的第二个高严重性漏洞。该漏洞实际上是两个低严重性错误的组合,不会对安全性造成影响,但同时可能导致可利用的内存损坏漏洞,导致OpenSSL崩溃,并可能允许执行恶意代码。 其他四个漏洞是低严重性漏洞。其中两个,CVE-2016-2105和CVE-2016-2106,可能允许堆损坏并使恶意代码得以执行,尽管成功的机会非常小。CVE-2016-2109是ASN.1 BIO中的一个,它允许攻击者分配大量内存,从而可能耗尽内存并使系统崩溃。最后,CVE-2016-2176允许攻击者在EBCDIC系统中收集数据,但没有任何敏感或有用的信息。 请阅读这里的完整安全提示。 什么是OpenSSL?它的用途是什么?如果您不熟悉OpenSSL,而您设计、构建或保护应用程序,那么是时候学习了。很可能,OpenSSL是由一个或多个应用程序实现的。OpenSSL是一个实现SSL/TLS协议的开源密码库。该库用于保护电子邮件、web应用程序、VPN、在线以及移动通信和消息应用程序的通信。 根据该项目的wiki,OpenSSL是一个工具,它提供了一个名为libssl的库,支持客户机和服务器应用程序的SSL(安全套接字层)和TLS(传输层安全性)协议,一个全面的密码库libcrypto,以及一个命令行应用程序,它既可以测试SSL/TLS协议,也可以创建和处理证书。 简言之,OpenSSL使数百万的应用程序(如果不是数十亿人的话)能够安全地进行通信。它广受欢迎,但资金不足,人力不足。称之为开源项目的诅咒。以下是最新一轮补丁的一些收获,以及我们如何改进开源的更高层次的收获。 OpenSSL和应用程序中的开放源代码组件带来的一些好处:当涉及到开源项目时,需要仔细的监督近年来,由于以下几个因素,开放源代码爆炸式增长,包括开发速度加快和应用程序部署压力加大,大型社区维护的开源项目质量更高,独立于专有供应商,也许最大的原因是:使用已经构建并维护良好的组件可以节省成本。 Forrester分析师杰弗里·哈蒙德(Jeffrey Hammond)在《计算机世界》(Computerworld)上对此解释得很好:"公司免费获得‘乐高积木’,这样他们就可以花时间和资源构建自己特别想要的东西。" 当开发人员可以将开源库用于应用程序的更标准部分,并使用他们的人力构建更复杂或定制的区域时,组织将通过节省时间和金钱而获胜,而开发人员则通过被授权构建应用程序的更关键领域而获胜。 然而,在开源的情况下,有一个警告-真的没有免费的午餐。这有一些影响,我们将讨论对像OpenSSL这样的开源项目的财务和开发支持的需求。但在这一点上,它涉及到这样一个事实,即开源附带条件——安全漏洞公开供公众审查……一种攻击。如果您的开源组件没有得到适当的保护,高防IP可以防御cc,恶意攻击者就可以提取字符串。 它甚至可能不是开源库本身的缺陷;组件与内部代码交互的方式,免费ddos防御系统,或者组件的实现方式可能存在安全问题。 这就是为什么安全性测试对于开源是必不可少的,就像你的内部代码一样。有了安全的SDLC,就可以部署威胁建模和安全测试,特别是源代码分析,以确保所有代码都是安全的,并且在部署应用程序以供一般使用之前,cf防御cc规则,对应用程序可能受到的威胁进行了很好的记录。  监视和管理开源组件需要成为任何应用程序安全程序的关键组件提供:WhiteSource–点击查看完整版本我们距离被ZDNet称为"开源最糟糕的时刻"的Heartbleed惨败只过去了两年,虽然OpenSSL漏洞在心血过后得到了很好的清理,但持续监控应用程序中使用的开源组件的重要性怎么强调都不为过。 WhiteSource对使用开源项目的组织进行的一项研究发现,cc防御是什么,2014年,在64.5万个被调查的项目中,33.8%的项目使用了具有安全漏洞的开源组件,尽管所使用的易受攻击的库中有整整95.7%的版本更新了这些漏洞。 开源组件的安全性——就像其他代码一样——不能被认为是理所当然的;我们需要从历史中吸取教训。由于组织现在至少依赖于一个开源组件,管理您使用的组件应该与内部代码一起完成。  开源现在比以往任何时候都更需要我们的支持本周公布的OpenSSL漏洞并不意外。OpenSSL项目中的缺陷会定期被公布,新的更新是标准的一部分。并不是说OpenSSL不好或者不应该使用;事实上,恰恰相反。OpenSSL使加密通信成为应用程序的标准组件,防御ddos攻击服务器,这是一个绝对积极的结果。 然而,与任何开源项目一样,OpenSSL并不是一个堡垒。它有洞。这并不完美。要使它尽可能安全,还有很多工作要做。如果您的应用程序是使用OpenSSL的数亿应用程序之一,那么您可以通过报告您的组织发现的漏洞或在社区中工作的时间或金钱来帮助改进它,或者让您的组织这样做。 像OpenSSL这样的开源项目只有那些付费的和自愿的开发人员团队一样强大。如果OpenSSL或其他项目在你的应用程序中是基础性的,那么考虑回馈。社区的帮助越多,问题就越快得到解决,而作为互联网主干的一部分的项目也就越安全。  应用程序安全AppSecOpen Source开源安全性漏洞生物最新帖子莎拉冯内古特莎拉负责社交媒体,同时也是切克马克思内容团队的编辑和作家。她的团队揭示了鲜为人知的AppSec问题,并努力推出内容,以激励、激励和教导安全专业人士如何在日益不安全的世界中领先于黑客。莎拉·冯内古特的最新帖子你的网上银行应用程序安全性如何?-2018年2月26日前五大OWASP资源开发者不应缺少-2018年1月9日智慧城市:我的城市能被黑客入侵吗?-2017年12月11日