DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn防御_ddos防护系统_秒解封

06-11 WEB安全

cdn防御_ddos防护系统_秒解封

作者:Matthew Hall,Brian Waskiewicz,Mike ForgioneThreat情报源和其他在许多情况下发现的敏感数据管道使用各种不同的身份验证方法来保护传输或休息一下,来点这些方法的示例是:完全未经认证的唯一/秘密HTTP文件路径专有HTTP headers专有登录APIsHTTPS with HTTP基本身份验证使用客户端证书(和私钥)的https/SSL/TLS SSH/SCP/SFTP/RSYNC私钥范围广泛的身份验证使安全软件开发过程复杂化。必须考虑TLP(红绿灯协议)限制、加密最佳实践(如PCI或FIPS要求)和系统强化(如NIST建议),防御cc攻击可以通过多种方法,以创建安全的安全解决方案凭证存储访问敏感数据的最安全方法,例如HTTP基本身份验证和TLS客户端证书,或者SSH基础设施,都需要安全的凭据存储来允许对数据的自动访问管道。安全凭证存储包括:密钥库,它是由安全库管理的加密文件或数据库。符合FIPS的密钥库不允许直接访问密钥材料以在使用过程中保护凭据。密码短语存储在与密钥库本身不同的位置,以保护休息。什么时候如果满足了这些要求,防御cc及ddos等各种攻击,则会使凭证暴露和/或渗出的过程变得非常复杂,或者在硬件实现的情况下,可以潜在地保证渗出是不可能。很普通实现问题是,大多数流行的软件开发参考站点,如StackOverflow、Github项目、开源代码、编程语言API指南等,推荐一些或全部一系列常见的不安全做法,这将增加泄露的风险,并使PCI和FIPS c认证变得困难遵从性:存储凭据在源代码控制或源代码存储库中:敌方组织经常利用源代码中位于受损端点上的凭证和证书,并利用它分散并渗透到大型目标的关键安全和操作基础设施中组织.数据库证书从一个GitHub存储库被盗,用于过滤有关50000 Uber的个人信息驱动程序:Uber数据库证书TheftAn Adobe代码签名证书被盗并用于对恶意软件进行签名。用户被骗安装了恶意软件,因为它似乎来自Adobe:Adobe代码签名证书盗用凭据作为命令行参数:任何可以在系统上执行"ps auxww"的人都可以访问命令行中的凭据,包括碰巧发现针对您的web的shell注入攻击的破解程序服务器或web堆栈,以及任何其他意外的非特权用户。那里一些程序在读取凭证后重写参数或使用setproctitle()重新调整自己,但这并不是一个完全的保证,wayosddos防御设置,因为患者的对手仍然可以在进程的早期,或通过中断或减慢处理期间发射。储存不安全格式的证书和私钥:不受保护的证书和私钥对于任何可以从文件系统中读取它们的人来说都很容易访问。许多守护程序在删除权限之前将其作为根用户加载,但通常在权限被删除后仍保留访问权限,以便在处理过程中使用它们,如果守护程序是可利用的。这个在HTTPS服务器和SSH中经常发生环境。大多数传统的HTTPS服务器不支持密钥库,或者需要在引导时输入密码,这很麻烦。SSH代理很难配置,而且不支持无头地输入自动化所需的密码短语访问。用于SSH至少可以对authorized_keys文件格式使用一些特殊的扩展,以限制无头SSH密钥的用途和范围,以防止误用。在sshd(8)手册页的AUTHORIZED\u KEYS文件中对此进行了解释格式.sshd(8) 手册页禁用传输中数据的关键SSL/TLS保护:最广泛使用的示例代码和大量开放源代码禁用SSL/TLS主机名验证和SSL/TLS证书路径验证,如RFC 5280所定义,在生产系统中不应该禁用它。通过未验证的连接传输的数据易受MITM攻击,因此无法信任再发:RFC 5280:PKIX(用于X.509的公钥基础设施)降低风险运行依赖于不安全代码的软件是一种安全风险和责任风险,也是一种业务风险。它也不能卖给美国政府和许多高度安全意识的组织。幸运的是,业界开发了一些独立于平台的安全凭证存储技术来缓解这些问题风险:LIBNSnssdb和libsecmod:这是唯一一个流行的开源多语言多平台加密和SSL/TLS库,具有集成的FIPS兼容密钥库。OpenSSL、GnuTLS和大多数其他库在这些需求方面没有提供太多帮助。因此libnss被广泛应用于浏览器.NSS图书馆主页几个技术供应商联合起来确保libnss是FIPS-验证:NSS库FIPS验证NSS库FIPS CertificateDevelopers还可以使用可用于Java(见下文)和Python的NSS绑定。我们很想知道是否有人知道绑定.JavaPKCS#11provider(包括对NSS和智能卡/HSM的支持):这是Java中高安全性操作的黄金标准。这包括以下:Tomcat、JBoss、Glassfish、Grizzly或其他J2EE服务器cce、JSSE、Bouncy Castle和其他流行的加密框架任何其他基于JVM的环境(Groovy、Scala、Jython、JRuby、,等等)Oracle Java 8 PKCS#11指南开发人员可以将此适配器与NSS或其他FIPS认证的PKCS#11设备一起使用,以获得FIPS认证解决方案.PKCS#12加密存档文件格式:这种格式不一定像其他格式那样具有高度的安全性和丰富的功能,但是仍然提供了很好的保护,并且在最广泛的环境中工作,因为它已经在最长。实用例如,国内免费ddos防御,最近,我们需要从Python内部访问一个使用PKCS#12的数据管道,该管道包含SSL/TLS客户机证书和私钥应用程序。我们决定使用pycurl是因为我们已经存在使用它的产品,高防cdn多少钱,因此它比使用NSS更简单,而且它为我们所使用的数据管道类型提供了足够的安全性建筑。幸运的是,可以将pycurl配置为使用保护客户端证书和私钥的密码短语访问PKCS#12密钥库。但是,由于libcurl本身存在可用性缺陷,配置和故障排除过程有些困难,我们修复了该缺陷并将其发布到社区:卷曲拉请求改进PKCS#12错误当对下面的代码示例进行故障排除时,我们发现PKCS#12加载过程中的三个不同故障点使用了相同的非特定错误消息,无法使用客户端证书(找不到密钥或密码短语错误?)。这使得很难确定PKCS#12初始化过程中失败的真正原因。在我们的补丁中,我们为每一个添加了单独的消息,以及从OpenSSL内部检索更详细的错误的逻辑细节。这个代码示例在pycurl中加载PKCS#12文件,并使用凭据访问目标URL:导入cStringIO导入pycurl请求=卷曲。卷曲()响应=cStringIO.StringIO公司()请求.setopt(pycurl.URL,请求url)请求.setopt(pycurl.SSLCERTTYPE,"第12页")请求.setopt(pycurl.SSLCERT,pkcs12\u文件路径)请求.setopt(pycurl.SSLKEY,pkcs12\u文件路径)请求.setopt(pycurl.SSLKEYPASSWD,pkcs12_file_密码短语)请求.setopt(pycurl.WRITEFUNCTION, 响应.写入)请求执行()结论我们鼓励每个人花一点时间思考系统中的敏感数据,而这些数据是在传输、使用中或静止的。我们乐于与安全和技术行业合作,树立良好的榜样,并向开发人员传授处理敏感凭证的安全方法。我们将继续鼓励每个人建立默认安全的数据管道。关于AuthorMatthew Hall

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/60145.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8045485访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X