江苏龙网

  1. 主页 > 生活百科 > >

如何防止网站被ddos,有效的避免ddos攻击手段

“有人用心站,有人用心攻”,这是互联网最正常的问题 。
那为什么网站容易受到攻击呢?
本文总结了OWASP提出的十大网络漏洞,包括每个问题的描述、真实案例以及如何修复网站漏洞 。
一、注射
问题:当用户提供的数据作为指令的一部分发送给转换器(将文本指令转换成可执行的机器指令)时,黑客会欺骗转换器 。攻击者可以利用注入漏洞创建、读取、更新或删除应用软件上的任何数据 。最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙 。
真实案例:俄罗斯黑客于2006年1月攻破罗德岛州政府网站,窃取了大量信用卡信息 。黑客声称SQL注入攻击窃取了53,000个信用卡账户,而主机服务提供商声称只有4,113个信用卡账户被盗 。
如何保护用户:尽量不要使用转换器 。OWASP说,“如果你必须使用转换器,那么避免注入攻击的最好方法就是使用安全的API,比如参数化指令和对象关系映射库 。”
二 。身份验证和会话管理被破坏
问题:如果应用软件不能自始至终保护好认证证书和会话ID,用户的管理员账号就会被攻破 。应注意隐私侵犯和认证系统的基本原理,并进行有效监控 。
OWASP表示,“各种漏洞经常出现在主认证机制中,但攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密问题和账户更新等辅助认证功能进行的 。”
真实案例:微软曾经消除了Hotmail中的一个漏洞,恶意的Java script程序员在2002年利用这个漏洞窃取了很多用户密码 。该漏洞是由一家网络产品经销商发现的 。包含木马程序的邮件可以利用该漏洞改变Hotmail用户的操作界面,迫使用户不断重新输入密码,并在用户不知情的情况下发送给黑客 。
如何保护用户:通信和认证证书存储要保证安全 。在应用软件认证系统中,传输私有文件的SSL协议应该是唯一的选择,认证证书应该以加密的形式存储 。
另一种方法是删除身份验证或会话管理中使用的自定义cookie 。
三 。跨站点脚本(XSS)
问题:XSS漏洞是网络应用软件最常见也是最致命的安全漏洞,当应用程序将用户数据发送到网页浏览器时,在没有进行身份验证或编码内容的情况下很容易发生 。黑客可以利用浏览器中的恶意脚本获取用户的数据,破坏网站,插入有害内容,发动钓鱼攻击和恶意攻击 。
【如何防止网站被ddos,有效的避免ddos攻击手段】真实案例:恶意攻击者去年对Paypal发起了攻击 。他们将Paypal用户重定向到另一个恶意网站,并警告用户他们的账户被盗 。用户被定向到另一个钓鱼网站,然后输入他们的Paypal登录信息、社会安全号码和信用卡信息 。Paypal表示,它在2006年6月修复了这个漏洞 。
如何保护用户:使用白名单验证所有接收到的数据,所有来自白名单之外的数据都会被拦截 。此外,所有接收到的数据也可以被编码 。OWASP说,“认证机制可以检测攻击,而编码可以防止其他恶意攻击者将其他脚本插入到浏览器上运行的内容中 。”
四 。被破坏的访问控制
问题:有些网页应该限制给少数特权用户,比如管理员 。然而,这些网页通常没有真正的保护系统,黑客可以通过猜测找到这些地址 。威廉姆斯说,如果一个网站地址对应的id号是123456,那么黑客会猜测123457对应的地址是什么?
针对该漏洞的攻击称为强制浏览,通过猜测周围的链接,找出未受保护的网页 。
真实案例:MacWorld大会网站存在漏洞,用户可以免费获得价值1700美元的高级访问权限和乔布斯演讲的内容 。该漏洞在客户端而不是服务器端评估用户的访问权限,使人们可以通过浏览器中的Java脚本获得免费权限 。
如何保护用户:不要以为用户不知道隐藏地址 。的所有网站地址和业务功能都应受到有效的访问控制机制的保护,该机制可以检查用户的身份和权限 。
V .不正确的安全错误配置
问题:虽然加密本身是大多数网络应用的重要组成部分,但是很多网络开发人员并没有对存储中的敏感数据进行加密 。即使是现有的加密技术,其设计也是粗制滥造 。
OWASP说:“这些漏洞可能导致用户敏感数据的泄露,破坏系统的一致性 。” 。
真实案例:在TJX数据失窃案中,4570万张信用卡和ATM卡账户被盗 。加拿大政府调查后认为,TJX未能升级其数据加密系统 。
如何保护用户:不要自己开发加密算法 。最好只使用认可的公共算法,如AES、RSA公钥加密和SHA-256或更好的SHA-256 。


推荐阅读


上一篇:想创业做什么生意好赚钱,9个不需要门面的生意推荐

下一篇:女人做什么最赚钱最快,8个稳赚的女性创业项目推荐