来自 应用 2021-11-09 12:29 的文章

ddos清洗_高防ip是什么意思啊_无缝切换

ddos清洗_高防ip是什么意思啊_无缝切换

最近,一个严重的漏洞(CVE-2018-6389)引起了Wordpress网站拒绝服务(DoS)攻击。然而,由于我们的Web应用防火墙(WAF),在其Wordpress网站上使用我们的应用程序保护解决方案的Nexusguard客户端可以放心地消除所有此类WP网站漏洞。此漏洞源于从web服务器调用/加载静态文件时出现的故障。两个易受攻击的模块中的参数"load","load-样式.php"和"加载-脚本.php",ddos防御视频网站,在"/wp admin/"路径下,允许浏览器在页面仍在加载时调用JS/CSS文件数组。 当浏览器需要加载多个JS/CSS文件时,会调用load-脚本.php(对于JS文件)或加载-样式.php(对于CSS文件)在一个请求中请求多个文件。为了获得更好的用户体验,此功能旨在节省加载时间。 必须注意的是-样式.php"和"加载-脚本.php"模块仅供管理员使用。然而,该漏洞存在于公共登录页面中,未经授权的用户(攻击者)通过该页面反复请求检索过多的JS/CSS文件,从而压倒服务器功能并使网站无法访问。 因为可以反复调用load-脚本.php或装载-样式.php为了分别检索181个可能的JS文件和300多个CS文件,如果在任何一种情况下同时实现各种各样的文件调用请求,则可以很容易地耗尽服务器资源。 因为"加载"-脚本.php"不需要身份验证,任何具有基本黑客技能的个人都可以通过公共登录页面,用简单的脚本关闭任何无人看守的Wordpress网站。与解决其他已知的Wordpress漏洞一样,阿里如何防御ddos,最重要的是你有一个可靠的WAF来保护你的Wordpress网站。 在我们应用虚拟补丁之前,彻底防御cc攻击,我们的安全团队可以帮助您定制一个WAF规则集,在对站点典型的文件请求模式进行基线化并研究可访问的JS/CSS库之后,可以帮助您定制一个WAF规则集,以实现针对这个Wordpress漏洞的最佳缓解效果。 另一方面,我们目前正在微调WAF引擎。修补程序和更新将在稍后阶段通过虚拟修补程序进行。 缓解方法包括:限制允许在单个请求中检索的JS/CSS文件的数量,限制可访问的JS/CSS库,查看URI路径是否包含"load-样式.php"或"加载-脚本.php"以及通过检查发出恶意请求的浏览器的会话cookie是否包含Wordpress cookie来验证合法用户。 同时,ddos防御详解,我们的24x7 SOC采用了一种动态的缓解策略,防御局域网ddos攻击,以确定在什么情况下缓解平台应该考虑登录URL被滥用。