DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

防cc攻击_美国服务器防御_如何防

05-04 DDOS防御

防cc攻击_美国服务器防御_如何防

如果不依赖第三方库,几乎不可能构建现代应用程序。开源软件是软件开发的一个惊人的繁荣。它有助于开发人员构建越来越复杂的应用程序,使互联网成为今天的样子。然而,从安全角度来看,第三方库也存在一些问题。例如,作为一个开发人员,cdn可以防御ddos吗,您可以在代码库安全性方面做任何事情,例如,使用正确的模式来避免跨站点脚本(XSS)和SQL注入(SQLi)。但是库中的一个漏洞可能会让您不堪一击,尽管您已经尽了最大的努力。这个问题不会消失的。越来越多的软件包管理者开始将漏洞检查作为其工作流程的一部分,但还不是所有的软件包管理者都能做到。请继续阅读,ddos防御方案包括以下哪些,了解如何使用Sonatype的免费服务产品ossindex来掌握这些信息。第三方库面临的挑战了解依赖关系的安全状态几乎是一项全职工作。如果你能看到互联网上的每一个依赖性。您还可以搜索常见的漏洞信息源。最流行的来源是来自国家漏洞数据库(NVD)的常见漏洞和暴露(CVE)提要。此数据库包含软件和库的已知漏洞信息。定期为一个包执行此操作是一项大量的工作,忘记对项目使用的所有包都这样做。另一个缺点是,对于每个漏洞,我们可能需要挖掘一点来识别易受攻击的版本。更为困难的是,并非所有的包管理器都将漏洞信息作为其管理工具的一部分,因此我们需要一种替代方法。在文章"Getting Started With DepShield:AnIntroduction"中,我介绍了Sonatype的DepShield GitHub扩展。此扩展自动扫描代码库中的第三方库问题,然后自动在GitHub中为任何已识别的漏洞创建问题。但是,并不是每个人都可以使用DepShield,因为它要求项目托管在GitHub上。对我们来说幸运的是,这个工具由Sonatype的开源软件(OSS)索引提供支持,无论我们的开发环境如何,我们都可以使用它。Sonatype的开源软件(OSS)索引OSS索引是Sonatype提供的一项免费服务,供开发人员检查是否有已知的、公开的漏洞。OSS索引提供了一个易于使用的搜索功能,可以快速找到任何库中的漏洞。重要的是要具体了解这意味着什么和OSS索引的局限性。OSS索引包含来自多个漏洞信息源的聚合信息,包括:常见漏洞和暴露(CVE)条目越来越多的公共脆弱性来源社区捐款专用OSS索引研究人员发现的与安全相关的bug tracker问题OSS索引不提供精心策划的安全细节或补救建议。请记住,如果OSS索引没有显示您正在搜索的库的任何漏洞,这并不意味着它没有任何漏洞。这只意味着没有一个OSS索引通过它的来源或贡献者知道。搜索库让我们通过查找曾经流行的jqueryjavascript库的信息来了解OSS索引。我们可以在OSS索引上按名称搜索任何库。这种类型的搜索返回所有相关包管理器的列表,其中包括jQuery以及具有相似名称的任何组件。只搜索jQuery会得到以下结果:由于包管理器处理包维护的方式不同,因此这些打包系统的版本之间很可能存在差异。为了获得最相关的结果,ddos防御成本,您需要在所使用的生态系统中找到库。在"组件列表"页面上,可以滚动列表以找到包管理器,ddoscdn防御,但也可以在搜索项中包含包管理器。程序包坐标您会注意到,上一个屏幕截图中的组件名称具有pkg前缀。OSS索引使用一个坐标系来组织库,这样可以很容易地在特定的包管理器中搜索库以及库的特定版本。例如,如果要将结果限制为nuget生态系统中的jQuery库,可以在搜索之前添加以下前缀:包:nuget/jquery这将限制nuget生态系统的结果:同样,cc流量攻击防御,如果要在Python PyPI包系统中搜索jQuery,可以使用以下命令:包:pypi/jquery开放源码软件索引包含许多发展生态系统的信息,可以在生态系统页面上看到:如果您还想将结果限制为nuget生态系统中库的特定版本,则搜索项还可以包括该版本:包:nuget/jquery@1.6.0有关可以用于搜索词的更多详细信息,请参阅OSS索引坐标文档。查看漏洞详细信息现在让我们详细了解漏洞信息。上面的组件搜索的第一个结果,包:nuget/Jquery,表示核心包。单击该链接可转到组件概述页面:此页面提供有关生态系统和坐标的信息,以及指向包和库源代码的链接。我们感兴趣的信息在"漏洞"下面,如上图所示,这个包包含3个严重漏洞和10个严重漏洞。为了查看这些漏洞的详细信息,您必须使用Sonatype帐户登录。你可以在这里注册一个免费帐户。登录并返回此页面以查看所有已知漏洞的列表:此列表根据通用漏洞评分系统(CVSS)按严重程度对漏洞进行排序。CVSS是一个用于评估漏洞严重程度的开放式行业系统。让我们深入研究第一个标题为"[CVE-2016-10707]jQuery 3.0.0-rc.1由于删除日志而易受拒绝服务(DoS)攻击。"每个漏洞的信息包括我们之前看到的CVSS分数,以及指向相关公共弱点枚举(CWE)和CVE标识符(如果存在)的链接。非常重要的是,该页面显示了包括库和易受攻击的特定版本的所有组件。如何读取版本信息Sonatype的OSS索引使用set表示法来指定版本和版本范围。以前的漏洞只存在于jQuery的3.0.0-rc1版本中。括号表示它包含在这个版本中。如果查看另一个jQuery漏洞的漏洞详细信息页面,例如"CWE-79:Web页面生成过程中输入的不正确中和(‘跨站点脚本’)",您将看到一个包含更复杂版本规范的示例。这里的版本范围是[1.4.0,1.11.3],[1.12.4,3.0.0-beta1)。将其分解为以下几点:[1.4.0,1.11.3]-此漏洞存在于从1.4.0到1.11.3的库的任何版本中,包括1.4.0和1.11.3版本。[1.12.4,3.0.0-beta1)-这表示从1.12.4到3.0.0-beta1的任何版本都存在该漏洞。接下来,让我们使用这些信息来确定一个可以更新到的非易受攻击的版本。识别非易受攻击的软件包在一个完美的世界里,软件开发人员不必担心向后兼容性,我们可以升级到最新版本。可悲的是,我们不能总是不创造大量额外的工作。我们经常想知道下一个可以升级到的次要版本,以便修复漏洞。举个例子,假设我们使用的是jQuery版本1.11.3,希望知道是否有一个次要版本不易受此问题的影响,我们可以升级到它。查看jQuery下载页面,我们可以看到下一个版本是1.12.0。这个版本不在易受攻击的版本范围内,但是让我们在OSS索引上查找,使用以下搜索词来确定:包:nuget/jquery@1.12.0根据OSS索引,该库没有已知的公共漏洞:希望我们可以升级到这个版本的库,而不会对我们现有的应用程序进行太多的破坏性更改。这并不总是可能的,它强调了一个重要的原因,即要保持所有库的最新信息,不要让任何库变得太过时。它会导致技术债务,也可能产生严重的安全影响。花点时间研究你的图书馆尽管付出了很大的努力,但对您当前的第三方库进行评估并花时间了解它们周围的气候是非常重要的。他们太老了?图书馆还在接收更新吗?更新到最新版本的时间成本是多少?作为一名开发人员,我一直在那里,因为旧的依赖关系,我花了几周时间更新一个应用程序,然后才能继续满足新的业务需求。作为一名安全顾问,我也看到了这方面的另一面:在一个应用程序中发现多个漏洞是由于过时的客户端和服务器端软件,而应用程序在其他方面相当可靠。最后,你不应该低估让第三方库落后所带来的技术和安全债务的数额。通过为重构现有代码和尽可能进行更新构建时间安排来保持对债务的控制。在保持代码库最新的同时,这也将极大地消除由于安全问题而引起的问题。保持新版本的最新版本将使您能够更轻松地更新依赖项。Sonatype有许多开源插件,可以在GitHub上找到许多包管理系统。不要让第三方的漏洞将您的应用程序及其用户置于危险之中。使用这些开源工具是开始构建securi的一个极好的方法

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67614.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8960934访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X