来自 防护 2021-06-10 23:00 的文章

ddos高防_ddos高防ip服务协议_快速解决

ddos高防_ddos高防ip服务协议_快速解决

ImmuniWeb>安全博客插件和扩展:流行的CMSs 2.0k 185 12 3 15 More 17 18 13的致命弱点2014年9月30日星期二,Kevin Townsend阅读时间:4分钟。High Tech Bridge的ImmuniWeb®web应用程序渗透测试SaaS的副产品是在流行的web应用程序和CMS。High Tech Bridge的ImmuniWeb®web应用程序渗透测试SaaS的副产品是在流行的web应用程序和CMS中频繁发现漏洞。High Tech Bridge的披露政策是立即通知供应商,但在公开详细信息之前,允许三周时间修复漏洞(供应商也可能要求延长披露时间)。在此期间,一个没有任何可利用细节的漏洞的简短声明被张贴在High Tech Bridge的研究页面上。High Tech Bridge的目的是说服供应商修复缺陷,并帮助使互联网成为每个人都更安全的地方。具有讽刺意味的是,在多功能WP安全插件中发现了两个SQLi缺陷。供应商于9月3日收到通知,计划于9月24日全面披露。在这次事件中,该缺陷由供应商于9月12日通过新版本3.8.3修复。hightechbridge的研究页面显示了最近在WordPress插件中发现的其他一些缺陷;例如maxbutton、Google地图插件、Google日历事件插件等等。人们很容易想到,由于这一点以及最近出现的主要的心血和外壳冲击漏洞,包括WordPress在内的开源软件本质上是不安全的。我问高科技桥的首席执行官兼创始人伊利亚·科洛琴科(Ilia Kolochenko),是否这是一个准确的假设。他说,答案是肯定和否定,"在过去的十几年里",他告诉我,ddos防御云服务,"Joomla和WordPress等主要的CMS平台已经被黑帽子和白帽黑客(一些著名的CMS甚至在开发过程中更名)进行了深入的研究。在早期,SQL注入(SQLi)和代码执行缺陷很常见。事实上,fikker怎么防御cc,"他补充道,"大约90%的网站容易受到重大风险攻击,允许在十几分钟内远程控制网站。与现在非常常见的中等风险XSSs漏洞没有任何共同之处。然而,人们不应忘记,在过去的web应用程序中从未承载过如此多的关键数据和个人信息。今天,可以公平地说,绝大多数数据泄露都直接或间接地与易受攻击的web应用程序和受到攻击的网站有关。"时间在流逝,设法在动态市场上生存下来的CMS的代码正在变得成熟和安全。黑帽开始为他们保留罕见的0天,而白帽发现越来越不严重的漏洞,建立了网络安全的XSS时代。经过十年的黑客攻击,大多数SQLi和XSS缺陷都被发现了(我们甚至不说以前就已经绝迹的PHP包含或RCE),暴露并修复了这些缺陷;WordPress和Joomla非常安全。""我想说,"Kolochenko解释道,"流行的CMS,如WordPress或Joomla,如果配置正确,没有第三方代码(插件)并且是up2date,它们在默认安装中可能被认为是安全的。"但这并不意味着当前所有的安装都是安全的。太多的管理员使用的弱密码可以是暴力强制的,或者他们重复使用可以从其他网站窃取的密码。或者网络钓鱼——社会工程的艺术已经被网络罪犯变成了一门科学。如今,黑客们倾向于利用各种插件中的XSS漏洞和社会工程来获取管理员的帐户(在很多情况下,他们确实成功了)如今现代CMS站点的主要弱点不在其核心代码中,在过去的几年中99%的可利用漏洞已经被发现和修复,而在第三方编写和支持的插件中。例如,易受攻击的不是WordPress,而是WordPress插件,这些插件通常由缺乏安全经验的新程序员生成。同时,插件是不可避免的,因为人们总是希望在他们的网站上有一些特定的定制功能,没有CMS可以默认提供。当然,在主要的CMS中不时会有新的漏洞(或绕过以前的补丁),但它们代表了绝大多数,而且通常很难被利用。"插件中‘WordPress’的SQLi和XSS漏洞仍然很常见。""易受攻击的插件意味着安装了这个插件的易受攻击的CMS,"他解释道通过利用插件中的XSS和SQLi缺陷,攻击者可以获得与利用web应用程序核心代码中的这些漏洞相同的管理员密码。互联网的问题是,有如此之多的WordPress和Joomla网站是由非常小的公司或个人制作和运营的,没有受过安全方面的培训或理解。WordPress自己的统计数据显示有33581个不同的插件,总共有747619967次下载。未知数量的下载量未知的插件将包含与WordPress无关的安全漏洞,但会使WordPress的安装不安全。互联网的真正问题是,WordPress的用户往往不了解风险,也无法提供解决方案。他们倾向于认为自己不会成为目标,而事实是他们是首要目标。儿童色情网站被盗用或被盗用的色情网站只有儿童色情网站。普通的WordPress用户所能做的就是小心地保护自己的密码,cdn国外高防,ddos防御方法要钱的吗,并尝试在插件中发现任何缺陷。传统的方法是使用pentester,但是价格高达10000欧元,对于一般的WordPress/Joomla网站来说,香港cdn高防,这是不现实的。像High Tech Bridge自己的ImmuniWeb这样的在线渗透测试服务要便宜得多,但除此之外,WordPress的用户还依赖于像Ilia Kolochenko这样的白帽黑客,他们会在造成太多伤害之前发现缺陷并帮助开发者修复。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i