来自 防护 2021-10-14 04:09 的文章

服务器防ddos_服务器防火墙怎么关闭_指南

服务器防ddos_服务器防火墙怎么关闭_指南

下一个Nessus排名前十的是#8,它涵盖了如何使用Nessus查找web应用程序漏洞。我将流程分解为四种不同的方法,由Nessus支持:1测试已知漏洞Nessus包含2600多个插件,ddos攻击防御权衡,可以识别和检测web应用程序中已知的漏洞。"CGI滥用"或"CGI滥用:XSS"插件系列中列出的任何插件都是为了列举web应用程序产品中公开报告的漏洞而编写的,无论是开源的还是商业的。要启用这些插件,ddos防御只能烧钱,必须在Nessus策略的"首选项"部分启用CGI扫描。即使启用了插件族,它们也不会执行,除非启用了CGI扫描。下面是一个这样的插件的输出示例:单击以获取更大的图像该漏洞是众所周知的,并由Nessus插件53449识别。在右边你可以看到这个漏洞的作用。放置在"siprop"参数中的脚本代码将显示在生成的网页上。web服务器似乎正在转义代码执行所需的字符,国内免费ddos防御,但此示例证明,该漏洞确实存在。需要进一步的手动测试来构造绕过web服务器过滤的漏洞利用。2测试先前未知的漏洞(模糊化)这种扫描方法使用模糊化和其他枚举技术来检测可能尚未发现的漏洞。在爬网过程中发现的web应用程序的每个参数都将进行SQL注入、跨站点脚本、文件包含和大量其他常见web应用程序攻击的测试。Nessus提供了一个全面的列表,列出了不同的攻击字符串和查找web应用程序中的漏洞的方法。有关这些功能的更多信息,请参见Nessus 4.4用户指南。以下是Nessus使用模糊技术发现的漏洞示例:单击以获取更大的图像上面的插件输出显示Nessus在应用程序中发现了SQL注入漏洞。"forumid"参数正在调用SQL"SELECT"语句。当一个单引号字符放在该参数内时,将显示一条SQL错误消息。您可以看到下面返回的错误消息:单击以获取更大的图像从这里开始,SQL注入点需要更多的测试来确定读写数据甚至执行命令所需的确切SQL语法。(注:这不是一个"新"的漏洞,它之前已经披露过。Nessus不包含专门针对此漏洞的插件,因为它在web应用程序中没有得到广泛使用,而且该漏洞需要发现凭据)。三。认证申请测试一旦您为web应用程序提供了凭据,就有了一个全新的功能、页面和参数需要测试。Nessus使您可以轻松地将凭据应用到您的web应用程序。下面是一个例子:登录应用程序并查找仅在登录时显示的文本:单击以获取更大的图像将Nessus配置为登录到应用程序,输入要查找的文本以指示成功的身份验证:单击以获取更大的图像配置web镜像插件(Nessus的"网络蜘蛛"组件)以跳过包含名称"logout"的任何页面:扫描完成后,检查Nessus插件11149的输出:现在您可以检测到只有在成功登录时才会出现的漏洞!4配置审核Web应用程序框架使用OWASP PHP最佳实践指南,您可以审核PHP应用程序使用的设置。下面是一个服务器的示例,云防御ddos,该服务器存在多个与安全相关的配置问题:通过登录到系统,配置审核策略将查看php.ini文件文件。有几个设置决定了PHP应用程序的安全级别。这是Nessus可以帮助您实现web应用程序安全性的另一个方面。企业Web应用程序评估使用SecurityCenter的仪表板功能,我创建了一个自定义视图,DDos防御方案包括,显示了环境中最易受攻击的web服务器:单击以获取更大的图像组织,尤其是大型组织,都有一个共同的问题:拥有数百个web应用程序,并且需要一种方法来确定修复的优先级。使用Nessus,您可以安排扫描以查找已知和以前未知的应用程序漏洞。SecurityCenter可用于创建快速简便的方法,以可视化哪些主机最易受攻击,并创建报告,这些报告将发送给可以解决问题的管理员。以上总结了您对Nessus最不了解的十件事:四种查找web应用程序漏洞的方法和大量企业安全提示!下一个是#7,"Nessus检测某些形式的恶意软件"。