来自 DDOS 2021-06-10 19:05 的文章

高防IP_cc防护喷雾是什么意思_快速接入

高防IP_cc防护喷雾是什么意思_快速接入

ImmuniWeb>安全博客OWASP Top 10:Breaked Access Control Security Vulnerability Practical Overview 27.6k 44 6 8 8 1 More 6 17 3 2018年7月12日星期四,按应用程序安全系列阅读时间:5分钟。在当前OWASP十大最关键的Web应用程序安全风险中,损坏的访问控制是#5。它应该与损坏的身份验证结合起来看,目前的风险是#2。2012年,南卡罗来纳州税务局遭受了一次巨大的数据泄露。大量纳税人数据被盗,其中包括360万个社会保险号码。这个漏洞似乎是由一个简单的鱼叉式网络钓鱼攻击造成的。政府系统理论上对未经授权的用户是安全的,但只有到了一定程度,攻击者才能破坏或绕过用户身份验证。想深入了解现代各个方面的破解访问控制安全漏洞的实用概述。请仔细阅读这篇文章,并将其添加书签以便以后返回,我们定期更新此页面。从那时起,没有足够的内部访问控制[CWE-284]来阻止"认证"攻击者访问和窃取敏感的IRS数据。一般来说,身份验证被认为是访问控制的总体原则的一部分。然而,在OWASP十大风险中,身份验证(OWASP#2)涉及证明用户身份,而访问控制(OWASP#5)则关注用户(经过身份验证或其他方式)可以在系统上访问什么。如何检测损坏的访问控制漏洞免费网站安全测试非侵入性GDPR测试非侵入性PCI DSS测试尝试免费测试ImmuniWeb?随需应变完成GDPR审核完成PCI DSS审核修复指南DevSecOps集成了解更多断开的访问控制风险是什么?破坏的访问控制可以被非常复杂的攻击或非常简单的攻击所利用。这类攻击的范围从在Mimikatz(允许在受损网络中进行横向移动)等专业工具的帮助下获取用户凭证,到简单的URL实验和操作。本质上,当没有权限访问文件或功能的用户可以访问这些文件时,就会出现中断的访问控制。利用应用程序代码中的访问控制缺陷的基本方法称为强制浏览。考虑一下假设的网站。此网站通常对其用户和管理员进行身份验证,并且仅在验证后提供相应的页面。如果攻击者知道相应的URL,他们只需在浏览器中输入:页面或者页面一个安全可靠的网站只需将用户重定向到登录页面。但是,如果这个方法允许访问这些页面,那么它就是一种破坏的访问控制。如果用户数据存储不正确,即使是这样的基本攻击也会造成令人震惊的损害。可以让攻击者直接访问网站用户的明文密码。这一具体结果将要求网站的安全性在多个方面都受到严重破坏,但对于处理敏感客户数据的大型组织来说,强制浏览漏洞仍然是一个问题。有一些好奇的用户注意到用于访问单个用户帐户页面的结构,更改URL中的数字,以及获得对陌生人帐户的未经验证的直接访问权限的例子。强制浏览背后的基本原理延伸到更复杂的攻击。配置不当的跨源资源共享(CORS)容易受到非常类似的攻击。如果没有适当的保护措施,一些应用程序可能会允许访问令牌(如会话密钥或JSON Web令牌)被操纵,并允许用户访问特权函数或其他用户的帐户。问题访问控制的潜在范围通常被构造成一个"看门人"。未经授权的用户将被保留在外部,直到他们通过用户名和密码等方式获得适当的授权(身份验证)。问题在于,当恶意代理获得此授权时,应用程序设计很少考虑。一旦有人能够"进入",通常很少或根本没有进一步的访问控制来阻止他们获取数据、伪造记录或访问特权函数。2015年,美国国税局再次遭到违反。这次,攻击者不需要破坏身份验证,因为他们已经可以访问用户凭据。尽管从2012年的泄密事件中吸取了教训,但美国国税局没有足够的访问控制来防止"认证"攻击者冒充合法用户和操纵系统。攻击者能够提交欺诈性的纳税申报表,linux防御大流量ddos,并在攻击被发现之前收到了5000万美元的政府支出。SAST和DAST测试可以帮助检测系统中是否缺少访问控制,但无法确定它在使用时是否正常工作。由于漏洞通常涉及诱使访问控制系统接受攻击者为合法用户,因此自动化工具可能无法在事后检测到漏洞。中断的访问控制很难提前发现,并在持续的违反期间。这些因素加在一起,给我们带来了非常棘手的安全风险。中断的访问控制很难提前发现,在持续的违反过程中可能更难检测到;并且可能产生极其深远和代价高昂的后果。解决方案应用程序结构可以通过实施额外的安全层来保护敏感数据来缓解访问控制问题。这样,ddos攻击防御算法,即使攻击者获得了对特定级别特权函数的访问权限,用户数据或管理命令也可以得到保护。在撰写2015年美国国税局(IRS)泄密事件时,高德纳(Gartner)的一个博客指出:你必须假设罪犯至少能通过一个层面,因此,你掌握的层面和措施越多,ddos攻击防御极贵,你的境况就越好。访问控制的强制执行应始终在服务器端处理。即使实现了客户端控件,它们也不应成为强制执行身份验证的唯一手段,尤其是在涉及敏感数据时。使用正确的工具,客户端控件总是可以绕过或修改的。web应用程序中的一个常见步骤是将授权的IP地址和设备ID合并到身份验证中。用户从新设备或位置登录,在输入应用程序发送的MFA代码之前无法登录。仅此一点并不是无懈可击的保护,但它可以防止已获得基本登录凭据访问权限的攻击者破坏访问控制。手动测试和主动安全是保护访问控制的最佳工具。OWASP发布了授权测试的指导方针,其中关于目录遍历和授权绕过的部分尤其相关。此外,还提供了一份最重要的主动式安全控制的前10名清单,高科技桥梁公司已经在这里和这里分析过了。手动测试和主动安全是保护访问控制的最佳工具。在技术进步之前,开发人员不得不使用二进制访问控制。我们只能专注于保持应用程序的严格编码和实现那些主动控制。High-Tech Bridge的Immuniweb发现服务是一个开始积极主动的好地方,它将手动测试和人工智能驱动测试的最佳方面结合起来,以帮助保持访问控制的各个方面尽可能强大。函数add_favorite(a){title=文件名称;网址=文件.位置;尝试{window.external.AddFavorite(url,title);}catch(e){尝试{window.sidebar.addPanel(title,防御cc跟ddos攻击,怎么防御cc,url,"";}catch(e){if(typeof(opera)=="object"){a.rel="sidebar";a.title=title;a.url=url;return true;}else{alert('请单击Ctrl+D添加到书签');}}}返回false;}函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i