安全是有分量的

国内高防cdn_cc防御平台_零元试用

2021-05-10 08:06栏目:安全

国内高防cdn_cc防御平台_零元试用

Atlassian报告了其Bamboo continuous integration(CI)服务器软件的安全咨询。更具体地说,web应用ddos防御,在产品中使用的第三方struts2/webwork2框架中。CVE-2013-2251中记录的Struts公告指出,Apache Struts 2.0.0至2.3.15允许远程攻击者通过特制的action:、redirect:、或redirectAction:前缀的参数执行任意OGNL表达式。官方的ApacheStruts2咨询报告"强烈建议"客户升级到Struts2.3.15.1。修复Atlassian表示,可以通过将Bamboo升级到4.3.4、4.4.8或更高版本来修复此漏洞。但是,如果客户无法升级,Atlassian建议不允许从不受信任的网络(如互联网)访问Bamboo服务器。如果您是Atlassian Bamboo用户和CloudPassation Halo客户,则可以通过利用Halo GhostPorts轻松实现此建议。通过使用GhostPorts,高防打不死cdn,客户可以对关键的Bamboo端口实施双因素身份验证,阿里云有没有免费的ddos防御,只允许授权用户访问。Atlassian提出的另一项减少利用此威胁向量的建议是阻止访问Web应用程序防火墙或包含重定向:、操作:或重定向操作:字符串的反向代理上的所有URL。Atlassian为nginx服务器提供了一个部分示例,其中包含redirect:prefix。验证您的临时缓解是否适用于所有nginx服务器的简单方法是创建一个Halo CSM规则来检查nginx配置文件。对于提供的Atlassian示例,Halo客户可以创建一个规则,防御ddos,该规则类似于下面的屏幕截图:一些最终建议您的CI服务器可能不需要对整个Internet进行始终在线的远程访问,因此请限制对它的访问。此外,不要将缓解作为已发布漏洞或咨询的长期解决方案。请尽快安排升级到Bamboo软件的最新版本。图片来源:◄声波►通过Compfight cc

,有效的DDos防御