当前位置:主页 > DDOS防御 > 正文

服务器加防_公司_网站遭到攻击

03-30 DDOS防御

服务器加防_公司_网站遭到攻击

自2001年成立以来,开放式Web应用程序安全项目(OWASP)已成为在线安全最佳实践的领先资源。特别是,它列出的十大"最关键的Web应用程序安全风险"是事实上的应用程序安全标准。最近发布的2017版OWASP Top 10是自2013年以来的首次更新,反映了近年来应用程序基本架构的变化。其中包括:源代码正在不受信任的浏览器上运行。使用单页和移动应用程序创建模块化的前端用户体验。正在写入的微服务节点.js还有弹簧靴。API和RESTfulWeb服务背后旧代码的屏蔽。在Imperva,我们每天都会处理前十大攻击类型。在这里,我们想在清单上给出我们的想法,包括我们同意的(好的)、我们认为缺少的(坏的)和我们不同意的(丑陋的)。但首先,让我们看看自2013年榜单发布以来发生了什么变化。2017年报告有何新意?OWASP 2017年的报告包括更新的威胁/风险评级系统,包括可利用性、普遍性、可检测性以及技术和业务影响。下面列出的攻击代表了最新的web应用程序威胁,如2017年OWASP前10名所示。A4-XML外部实体(XXE)XML外部实体(XXE)是一种主要由SAST数据集支持的新类别,它利用旧的或配置不好的XML处理器在XML文档中上传恶意内容。通过利用处理器的易受攻击的代码、依赖关系或集成,攻击者可以从服务器发起远程请求,扫描内部系统并发起拒绝服务(DoS)攻击。这可能导致任何接受XML或插入XML文档的应用程序易受攻击。A8-不安全的反序列化反序列化,即从一系列字节中提取数据,是应用程序之间不断进行通信的过程。不安全的反序列化可能导致远程代码执行、重播攻击、注入攻击、权限提升攻击等。A10-记录和监控不足日志记录和监控不足,再加上无效的事件响应,使得攻击者能够加强和延长攻击策略,保持其持久性,"转向更多系统,篡改、提取或销毁数据"。为了给这些新版本腾出空间,OWASP调整了以下威胁:不安全的直接对象引用和缺少的函数级访问控制被合并到一个新的类别中,近三年ddos防御技术,称为损坏的访问控制。CSRF在OWASP的安全威胁列表中被降到第13位。无效的重定向和转发被降级到25号。我们对2017年前10名的看法2017年OWASP十大报告包含了一些我们认为更好地反映当前应用程序威胁前景的变化。也就是说,有几点本可以得到更好的解释,还有一些错失了解决其他应用程序威胁的机会。好的2017年的前10名看起来比2013年的更犀利,因为它更关注潮流话题和技术。2013年报告中列出的一些攻击事件后来变得不那么重要了,而且有充分的理由将其从名单中删除。例如,路由器防御ddos,不到5%的数据集支持CSRF,而不到1%的数据集支持无效的重定向和转发。同时,新的类别,如XML外部实体(XXE)、不安全的反序列化,以及不充分的日志记录和监视,使得我们能够更好地应对新类型的攻击和威胁,例如REST请求、API交互和XML数据传输。坏的在新的前10名中,有几个类别的描述不是很好。特别是,注入仍然是一个过于宽泛的主题,linux防御大流量ddos,没有为易受攻击的应用程序可能暴露的注入类型添加足够的背景知识。关于"unvalidatedredirects and Forwards"(未验证的重定向和转发),它也是一种输入验证控件,也是一种极有可能的XSS,我们同意将其从前10名中删除。也就是说,这仍然是一个突出的威胁,应该被更明确地提及或纳入另一项控制措施,而不仅仅是降级。丑陋的虽然我们很欣赏在前10名中增加了新的控件,cc攻击的端口怎么防御,但"日志记录和监视不足"似乎并不符合要求。在我们看来,前10名应该集中在有形的控制上,这些控制措施可以防止或减少暴露在bug中的风险。日志记录和监视解决方案是web应用程序安全的重要工具。也就是说,这是一种反应性控制,与清单上其他的预防性控制并不完全相符。下载我们的电子书"保护您的应用程序免受所有OWASP十大风险"的副本,cc防御验证,了解如何保护您的资产免受这些威胁。你同意我们对2017年OWASP前10名的分析吗?请在下面的评论中告诉我们。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/39252.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5420104访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X