DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

抗d_简述_竞技棋牌防御

抗d_简述_竞技棋牌防御

一位安全研究人员发现了Pocket的一些安全漏洞,国内防御cc,Pocket是我喜欢并经常使用的服务。它们从未在野外被开发(或者我们希望如此)。但它们消除了一个非常普遍的误解:云中基于web的应用程序和web服务器是安全的,因为云基础设施是安全的。准确地说,租户将任何应用程序、平台、服务器甚至操作系统的安全性都是她自己的责任。云基础设施只为计算、存储、数据库等原语提供安全性。亚马逊在以下信息图中简洁地表述了这一点:不幸的是,许多组织并没有意识到这一点。他们认为放在公共IaaS云中的任何东西都是安全的。黑客攻击涉及什么?有关黑客攻击的详细信息,请参阅Pocket中的多个漏洞。这是一个人的绝妙破解,也是他唯一的工具——浏览器。不需要其他任何东西。黑客攻击还说明了多个OWASP Top 10漏洞是如何被侵犯的,这可能导致:Grab file:///etc/passwd通过301重定向获得自动配置的EC2用户的主目录使用301重定向到fileuri从自动配置的EC2用户的主目录获取ssh私钥(毕竟,我们以root用户身份运行,我们可以读取它们)。使用/server status获取内部IP地址。以每小时2美分的价格在US-EAST-1中启动一个EC2实例。使用ssh私钥ssh进入Pocket后端服务器的私有IP地址。???利润!回到OWASP Top10 prism,下面是几个被违反的部分的列表:A5–安全配置错误这就是黑客攻击的起源-apache mod_status和ExtendedStatus被启用。它们揭示了关于Apache配置、url和内部IP地址的许多细节。研究人员诱使Pocket泄露了这些信息,方法是将本地主机IP服务器状态文件的链接排队,该文件通过Pocket应用程序迅速提供了详细信息。正如我所说的,阅读全文以了解这方面的完整情况。A6–敏感数据暴露利用Apache的错误配置,路由开启哪些ddos防御,研究人员可以收集有关环境的内部细节,高防CDN对接,哪家服务器防御cc好,如AWS实例的详细信息、凭证等,阿里云防御ddos,以及应用程序本身的详细信息。A2中断的身份验证和会话管理"EC2实例的一个非常方便的特性是Amazon的实例元数据服务。此服务可在任何EC2实例上进行内部访问,无需身份验证。"A10未验证的重定向和转发研究人员能够利用Pocket的重定向机制来实现恶意重定向。A4不安全的直接对象引用研究人员能够通过错误的协议处理程序和恶意重定向(例如重定向到file:///etc/passwd)引用内部实现对象,如文件和目录A1注入研究人员能够通过HTTP注入请求来获得操作系统级的资源,如/etc/passwd、/proc filesystem等。。如何保护业务关键型web应用程序?Barracuda Web应用程序防火墙解决了OWASP的前10个问题。它不仅可以在on-prem模型中使用,还可以通过AWS和Azure市场直接获得。它可以:隐藏可用于标识服务器(例如,Apache、IIS等)的消息。防止通过web应用程序泄漏敏感数据通过web应用程序防止恶意重定向和操作系统命令注入如需更多详细信息,请单击此处查看我们的OWASP Top 10白皮书(pdf)。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/39814.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5471387访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X