安全是有分量的

服务器安全防护_服务器高防哪家好_如何防

2021-05-05 05:35栏目:科技报

服务器安全防护_服务器高防哪家好_如何防

跨站点脚本(XSS)是一种常见于web应用程序中的安全漏洞。XSS使攻击者能够将客户端脚本注入其他用户查看的网页中,并可能被用来绕过访问控制,例如同源策略XSS的影响范围从小麻烦到重大网络安全风险不等,这取决于易受攻击的网站处理的数据的敏感性,以及所实施的任何缓解措施的性质。通常用于跨站点脚本攻击的易受攻击的web应用程序是允许评论的论坛、留言板和网页。如果未清理用户输入,则可能在VBScript、ActiveX、Flash、JavaScript和CSS中进行XSS攻击目录XSS攻击是如何工作的?为什么XSS很危险?XSS攻击有哪些类型?非持久(反射)XSS攻击持续(存储)XSS攻击自我XSS变异的XSS(MXS)服务器端和基于DOM的跨站点脚本的区别如何防止XSS攻击UpGuard如何帮助降低网络风险XSS攻击是如何工作的?典型的XSS攻击有两个阶段:攻击者找到一种方法将恶意代码注入受害者访问的网页受害者访问网页并运行恶意代码要使第一步起作用,易受攻击的网站必须在其页面上直接包含未经确认的用户输入。然后,攻击者在网页中插入恶意代码,受害者的浏览器将其视为源代码还有其他XSS攻击依赖于使用社会工程诱使用户自己执行有效负载为什么XSS很危险?虽然认为XSS漏洞比SQL注入漏洞的危险性要小,但XSS攻击的后果,特别是依赖JavaScript的存储XSS攻击的后果可能非常危险,因为:JavaScript可以访问网页可以访问的所有对象,这可以包括用户的cookies文档.cookie,如果会话cookie没有得到足够的保护,攻击者就可以访问它们。如果攻击者可以访问用户的会话,则他们可以模拟用户,高防免费cdn1001无标题,大规模DDoS攻击的最佳防御点,代表用户执行操作,并获得对敏感数据的访问权限。  JavaScript可以读取浏览器的域并对其进行修改,从而可以破坏网站并公开敏感信息。JavaScript可以使用XMLHttpRequest对象发送HTTP请求现代浏览器中的JavaScript可以使用html5api,它可以用来访问用户的地理位置、网络摄像头、麦克风,甚至计算机上的文件。虽然这些API中的大多数都需要选择加入,但攻击者可以使用社会工程来强迫受害者批准他们的请求。XSS攻击有哪些类型?对于跨站点脚本攻击的类型没有单一的标准化分类,但是大多数专家至少区分了两种主要类型:非持久性和持久性。其他来源进一步将这两个组分为传统的(由服务器端代码引起)和基于DOM的(在客户端代码中)。非持久(反射)XSS攻击非持久(或反射)跨站点脚本漏洞是一种常见的web漏洞通常是由web客户端提供的数据的结果,最常见的是HTTP查询参数(例如表单提交),服务器端代码立即使用它来解析并向最终用户显示一页结果,而没有对内容进行适当的清理。 作为参考,防御ddos,清理是指检查HTML文档并生成一个新的HTML文档的过程,该文档只保留指定为安全的HTML标记由于HTML文档具有一个混合了控制语句、格式和内容的扁平结构,因此,如果没有正确的HTML编码,结果页面中包含的任何未经验证的用户输入都可能导致注入攻击。 这类网络攻击的典型攻击载体是网站的搜索引擎。如果搜索一个词,通常会在结果页上逐字显示该词,以指示搜索到的内容。 如果响应没有转义或拒绝HTML控制字符,则会出现跨站点脚本缺陷这些攻击通常是通过网络钓鱼电子邮件或中立网站进行的。恶意URL指向可信站点,但包含反射的XSS攻击,如果该站点易受反射攻击攻击,单击该链接将导致受害者的浏览器执行注入的脚本。 持续(存储)XSS攻击持久性(或存储的)XSS漏洞是跨站点脚本的更具破坏性的变体。当攻击者提供的数据被web服务器保存,然后在常规浏览过程中返回给其他用户的正常页面上永久显示时,就会发生这种情况这类攻击的一个著名例子叫做Samy。Samy是一种跨站点脚本的计算机蠕虫,在社交网站Myspace上传播当用户查看受感染的配置文件时,负载将被复制并放置在自己的配置文件上以继续传播蠕虫在2005年10月4日发布的20小时内,超过100万用户运行了有效负载,使Samy成为有史以来传播最快的蠕虫病毒蠕虫本身是相当无害的,它的有效载荷会在受害者的个人资料上显示"但最重要的是,萨米是我的英雄",并向它的创造者萨米·卡马尔发送一个朋友请求这是一个良性的例子。与反映的XSS漏洞相比,持续的XSS漏洞可能会带来重大的网络安全风险,因为正如Samy所示,恶意脚本是自动呈现的,不需要单独针对受害者或引诱他们到网站上。  注入的方法可以有很大的变化,云DDOS防御原理,攻击者甚至不需要直接与web功能本身交互来利用漏洞。web应用程序(通过电子邮件、系统日志、IMs等)接收到的任何可由攻击者控制的数据都可能是潜在的攻击载体。 自我XSSSelf XSS是一种社会工程攻击,用于控制受害者的web帐户。在自我XSS攻击中,攻击的受害者被迫在自己的web浏览器中运行恶意代码,从而将其暴露给攻击者过去,曾发生过一次非常类似的攻击,诱使用户将恶意的JavaScript粘贴到他们的地址栏中。一旦浏览器供应商修复了此漏洞,攻击者就开始使用当前形式的Self XSS。今天,Mozilla Firefox和googlechrome都引入了安全措施来警告用户自我XSS攻击变异的XSS(MXS)当攻击者注入看似安全的内容,但在解析标记时,用户的浏览器会重写和修改这些内容,就会发生变异的XSS这些攻击很难在应用程序逻辑中检测或清理。服务器端和基于DOM的跨站点脚本的区别过去,在服务器上执行所有数据处理的应用程序中发现了XSS漏洞这意味着所有的用户输入都被发送到服务器,然后以网页的形式发送回用户,这就可能导致持续的XSS攻击。然而,对改善用户体验的需求导致开发人员将大部分表示逻辑(例如JavaScript代码)转移到客户端,使用AJAX按需从服务器获取数据由于JavaScript代码也在处理输入并在web页面上呈现它,因此它打开了反映XSS攻击或基于DOM的XSS。如上所述,防御ddos,这些恶意内容不会触及web服务器,而是仅在客户端由JavaScript代码反映出来。 如何防止XSS攻击防止XSS攻击是web应用程序安全的一个关键组成部分,也是OWASP十大安全措施之一也就是说,没有单一的策略来减少跨站点脚本,不同的web应用程序需要不同级别的保护。可以采取一些保护措施,包括:使用通过设计逃离XSS的现代框架,比如rubyonrails或React了解框架的XSS保护的局限性并适当地处理异常转义不受信任的HTTP请求验证、过滤或清理用户生成的内容使用内容安全策略(CSP)作为深度防御控制避免HTML输入,使用其他选项采取cookie安全措施设置WAF规则以阻止对服务器的奇怪请求更多信息,请阅读我们的OWASP十佳指南。UpGuard如何帮助降低网络风险洲际交易所、Taylor Fry、纽约证券交易所、IAG、First State Super、Akamai、Morningstar和NASA等公司使用UpGuard的安全评级来保护其数据、防止数据泄露并评估其安全态势。通过自动化供应商调查问卷和提供供应商调查问卷模板,UpGuard供应商风险可以最大限度地减少组织用于评估相关和第三方信息安全控制措施的时间。我们可以帮助您持续监控供应商的外部安全控制,并提供公正的安全评级我们的评级基于对70多个向量的分析,包括:易受中间人攻击不安全的SSL/TLS证书SPF、DKIM和DMARC设置HTTP严格传输安全(HSTS)电子邮件欺骗和网络钓鱼风险脆弱性恶意软件敏感性不必要的开放管理、数据库、应用程序、电子邮件和文件共享端口数据泄露和已知数据泄露易受攻击的软件HTTP可访问性安全cookie配置智能安全问卷调查结果我们还可以帮助您立即将您当前和潜在的供应商与他们的行业进行比较,这样您就可以看到他们是如何累积起来的。为了评估您的信息安全控制措施,UpGuard BreachSight可以监控您的组织是否有70多项安全控制措施,提供简单易懂的网络安全评级,并自动检测S3存储桶、Rsync服务器、GitHub repos和