精华内容
下载资源
问答
  • 目前Web技术在客户和服务端的广泛利用,导致黑客们越来越侵向于使用各种攻击手法来针对Web应用城进行攻击,即绕过了防火墙等常规防护手段,也使得攻击手段更加简便和多样化,令人防不胜防。
  • 常见的Web应用攻击手段 1.XSS攻击 XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。 分类 1.1 反射型 攻击...

    常见的Web应用攻击手段

    1.XSS攻击

    XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。

    分类

    • 1.1 反射型

      攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的

    • 1.2 持久型

      黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的

    防护手段

    • 1.3消毒

      XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的,这些脚本是一般用户输入中不使用的,如果进行过滤和消毒处理,即对某些html危险字符转义就可以让绝大部分攻击失败

    • 1.4HttpOnly

      浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie,可以防止Cookie中的数据被窃取

    2.注入攻击

    分类

    • 2.1 SQL注入攻击

      攻击者在HTTP请求中注入恶意SQL命令(drop table users;),服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。

    • 2.2 OS注入攻击

    防护手段

    • 2.3 消毒

      通过正则匹配,过滤请求数据中可能注入的SQL

    • 2.4 参数绑定

      使用预编译手段,绑定参数是最好的防SQL注入方法。目前许多数据访问层框架,如IBatis,Hibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL的参数,而不是SQL命令被执行。

    3.CSRF攻击

    攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发表评论等;
    CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。

    防护手段

    • 3.1 Token验证

      通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法

    • 3.2 验证码

      验证码则更加简单有效;
      请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,

    • 3.3 Referer check

      HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法。

    展开全文
  • Web防火墙,主要是对Web...由于是应用层而非网络层的入侵,从技术 角度都应该称为Web IPS,而不是Web应用防火墙。这里之所以叫做Web防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防SQL注入,也有人...

    Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵,从技术 角度都应该称为Web IPS,而不是Web应用防火墙。这里之所以叫做Web防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防SQL注入,也有人称为SQL防火 墙。

    Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署

    Web应用防火墙 (WAF) 代表了一种新的信息安全技术,用于保护Web站点(或者说Web应用程序),使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面,WAF 提供了防火墙和IDS等常规信息安全产品所不具备的能力。WAF不需要修改Web应用程序的源代码。随着目前针对Web应用的攻击手段越来越复杂化,为WAF制定一个规范的评价标准显得重要起来,有了这个标准,我们就可以去准确地比较和评价WAF产品。

    Imperva公司的WAF产品在提供入侵防护的同时,还提供了另外一个安全防护技术,就是对Web应用网页的自动学习功能,由于不同的网站不可能 一样,所以网站自身页面的特性没有办法提前定义,所以imperva采用设备自动预学习方式,从而总结出本网站的页面的特点。具体的做法是这样的:

    通过一段时间的用户访问,WAF记录了常用网页的访问模式,如一个网页中有几个输入点,输入的是什么类型的内容,通常情况的长度是多少…学习完毕 后,定义出一个网页的正常使用模式,当今后有用户突破了这个模式,如一般的帐号输入不应该有特殊字符,而XML注入时需要有“<”之类的语言标 记,WAF就会根据你预先定义的方式预警或阻断;再如密码长度一般不超过20位,在SQL注入时加入代码会很长,同样突破了网页访问的模式。

    网页自学习技术,从Web服务自身的业务特定角度入手,不符合我的常规就是异常的,也是入侵检测技术的一种,比起单纯的Web防火墙来,不仅给入侵者“下通缉令”,而且建立进入自家的内部“规矩”,这一种双向的控制,显然比单向的要好。

    Citrix公司收购了Teros后,推出的应用防火墙通过分析双向流量来学习Web服务的用户行为模式,建立了若干用户行为模型,一但匹配上你是 某个行为,就按该模式行为去衡量你的行为做法,有“越轨”企图立即给予阻断。这个自适应学习引擎与Imperva公司的网页自学习有些类似,不过一个重点 是学习网页特点,一个是学习用户访问的规律。

    从安全角度来说,网业自学习技术与入侵防护结合使用,是理想的选择。

    转载于:https://my.oschina.net/u/3778497/blog/1840957

    展开全文
  • XSS攻击全称为夸张脚本攻击,是web应用中常见的攻击手段。XSS攻击是指攻击者在网页中嵌入恶意脚本程序,当用户打开网页时脚本就开始在浏览器中执行并作为危害用户计算机盗取用户信息的行为。 1.1
     随着互联网技术的不断发展,大量信息获取变得容易,这也给互联网架构安全带来了严重的挑战。对于常见的web攻击手段主要有XSS、CRSF、SQL注入等。下面本文将介绍常见的攻击手段极其防护方法。
    

    1.XSS
    XSS攻击全称为夸张脚本攻击,是web应用中常见的攻击手段。XSS攻击是指攻击者在网页中嵌入恶意脚本程序,当用户打开网页时脚本就开始在浏览器中执行并作为危害用户计算机盗取用户信息的行为。
    1.1XSS攻击原理
    假设页面上有个表单,表单名为nick用来向服务器提交用户信息:

    <input type="text" name="nick" value="xiaoming"/>

    表单的nick来自用户输入,如果当用户输入的不是一个正常字符而是
    “/>“时由于服务器校验不通过服务器重定向返回这个页面并且带上之前的输入参数,此时页面内容变成面下。

    <input type="text" name="nick" value=""/><script>alert("hahh")</script>""/>

    在输入框后面带上一段javascript脚本,虽然这个脚本不会做出什么恶意行为只是弹出一个haha窗口,

    展开全文
  • 从厂商发布资料分析,Web应用防火墙是目前企业Web服务安全防护的一种有效手段;从技术评测角度来讲,过于稀少的评测报告无法对厂商目前所具备的产品技术能力进行分析;售后服务方面厂商情况喜忧参半,有的厂商有全面的...
  • 从厂商发布资料分析,Web应用防火墙是目前企业Web服务安全防护的一种有效手段;从技术评测角度来讲,过于稀少的评测报告无法对厂商目前所具备的产品技术能力进行分析;售后服务方面厂商情况喜忧参半,有的厂商有全面的...
  • XSS攻击全称是跨站脚本语言攻击,是Web应用程序中最常见的攻击手段,跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打开该程序时盗取用户的cookie,密码以及相关用户资料。 防范措施,因为用户的输入...

    1,XSS攻击

    XSS攻击全称是跨站脚本语言攻击,是Web应用程序中最常见的攻击手段,跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打开该程序时盗取用户的cookie,密码以及相关用户资料。

    防范措施,因为用户的输入数据都变成了代码,所以我们需要将用户的输入数据进行相关转义处理,现在可以使用jstl,structs等的标签进行转义。

    如:<c:out value="${nick}" escapeXml="true"></c:out>只需要将escapeXml修改为true就可以将html代码中的变量进行转义处理。


    2,CRSF攻击

    CRSF攻击的全称是跨站请求伪造,是一种对网站的恶意利用,伪造合法用户的身份进行攻击。一般来讲CSRF是伪装来自受信任用户的请求来利用受信任的网站,并向第三方网站发送恶意请求。包括利用你的身份发送邮件,发送即时消息,银行转账等。

    防范措施:

    1),将cookie设置为HttpOnly

    2),增加token

    3),通过Referer识别。

    未完待续。。。。。。。。。。

    展开全文
  • 网神SecWAF 3600 应用防火墙(又名SecWAF应用防护系统),以下简称网神SecWAF,是自主知识产权的新一代安全产品,作为网关设备,防护对象为Web服务器,其设计目标为:分别针对安全漏洞、攻击手段及最终攻击结果进行...
  • 概述八类Web应用攻击

    2011-09-04 19:46:00
    目前Web技术在客户和服务端的广泛利用,导致黑客们越来越侵向于使用各种攻击手法来进行Web应用攻击,即绕过了防火墙等常规防护手段,也使得攻击手段更加简便和多样化,令人防不胜防。 黑客们普遍使用Web进行攻击的...
  • 因此,WAF(Web Application Firewall,Web 应用防护系统)的概念也就被提了出来。WAF 说白了就是应用网关防火墙的一种,它只专注于 Web 安全的防御,近几年来逐渐被当成一个相对独立的产品方向来研究。 那么,WAF ...
  • WAF(Web Application Firewall)对于搞web渗透测试的甲方安全运维工程师、众测平台的白帽子、乙方web渗透工程师、搞黑产的blackhat是个并不陌生的web安全防护手段。在工作中或多或少涉及到这方面的相关知识,那么,...
  • Gartner报告曾指出,在保护企业Web应用最有效的技术中,WAF 高居首位(73%),成为可显著降低Web应用漏洞风险、满足安全合规和等级保护要求的重要手段。 因此WAF市场仍然充满活力,许多提供商声称迎来两位数的强劲...
  • 阿里云Web 应用防火墙(WAF)

    千次阅读 2019-04-03 10:31:38
     没有 WAF 之前:暴露在互联网上的网站(业务)没有任何防护手段,一些自动化工具 (不需要黑客)就可以找到网站的漏洞,并造成业务数据丢失或者被篡改。  使用 WAF 之后:相当于使用了阿里巴巴淘宝业务数十年的...
  • 目前针对网络攻击的防护技术手段也是层出不穷, 但一般都是事前检测和事中防护, 事后检测维护的则相应比较少。 在网络中心有大量的 服务器设备, Web 日志文件作为服务器的一部分, 详细记录设备系统每天发生的...
  • CC攻击,全名ChallengeCollapsar(为一种攻击工具的名字),即“挑战黑洞”攻击,是分布式拒绝攻击(DDoS)的一种。...防止CC攻击最常用的手段之一是使用Web应用防火墙来进行隔离。一、CC攻击给企业带来...
  • CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
  • web应用安全的威胁类型和应对方案

    千次阅读 2018-08-15 10:49:52
    目前的一些主流攻击方式有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击,这几类攻击都已经形成了比较成熟的防御措施。 注入漏洞涉及的内容...应用层ddos攻击是国内非常常见也是最难以防范的攻击手段,其根本...
  • 传统被动、单点以及彼此孤立的防护手段已不能应对越来越严峻的安全威胁。 改被动防御为主动防御,变单点防御为分层防御,变孤立的防御为协同防御。 正是因为日新月异的攻击方法变换不断,而我们的防护技术普遍落后...
  • web应用程序编写的糟糕代码可能被利用来获得对敏感数据和web服务器的未经授权的访问。 在本文中,我将向你介绍web应用程序黑客技术,以及你可以采取的防止此类攻击的应对措施。 什么是web应用程序?什么是网络...
  • web应用程序编写的糟糕代码可能被利用来获得对敏感数据和web服务器的未经授权的访问。 在本文中,我将向你介绍web应用程序黑客技术,以及你可以采取的防止此类攻击的应对措施。 什么是web应用程序?什么是...
  • Web应用系统所面临的威胁是非常严峻的。不管攻击的一方是采用单一形式的攻击,还是采用混合多种手段的混合攻击,作为防护一 方,你需要考虑如下几个问题: (1)在攻击发起前,能否先于攻击者发现系统存在的漏洞? ...
  • 网络层安全防护

    2019-01-25 12:44:23
    本认证课程旨在帮助学员了解云计算网络层常用到的网络防护实践方法,以及掌握防火墙、入侵检测、Web应用防火墙、抗DDoS等防护手段的功能和基本原理。能够使用操作系统自带的防火墙(Windows主机防护墙、Linux ...
  • baz随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。在2012年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP,属于一种新型应用安全保护...
  • 该报告以阿里云2018年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议。 报告指出,尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的...

空空如也

空空如也

1 2 3 4 5
收藏数 84
精华内容 33
关键字:

web应用防护手段