真人无码作爱免费视频网站,亚洲AV永久无码国产精品久久 ,精品久久国产综合婷婷五月,亚洲AV成人无码网站一区二区

2010/10/08 21:37:19所在目錄:建站新聞瀏覽量:2784
Web網(wǎng)關(guān)全面抵御全球十三類網(wǎng)站攻擊
2019/05/22 所在目錄:公司動態(tài)
近日,Wedge Networks(穩(wěn)捷網(wǎng)絡(luò))宣布,基于公司BeSecure Web安全網(wǎng)關(guān)構(gòu)建企業(yè)網(wǎng)站保護(hù)方案,成功實現(xiàn)對全球十三類網(wǎng)站攻擊行為完整防御,確保用戶網(wǎng)站的整體信息安全。據(jù)悉,新方案彌補了傳統(tǒng)網(wǎng)站保護(hù)方案僅打補丁或單一網(wǎng)絡(luò)封堵的思路,而是多管齊下,從網(wǎng)絡(luò)防御、網(wǎng)址過濾、信息內(nèi)容監(jiān)管、漏洞管理、內(nèi)外郵件掃描等多個環(huán)節(jié)對網(wǎng)站W(wǎng)eb服務(wù)器進(jìn)行安全保護(hù)。

全球13類網(wǎng)站攻擊行為

攻擊一:代碼執(zhí)行攻擊

描述

當(dāng)輸出或者觸發(fā)服務(wù)器端代碼時,漏洞植入到代碼中。在有些不嚴(yán)密的Web應(yīng)用程序中,用戶可以通過修改應(yīng)用程序發(fā)布到留言板或留言簿,有時可能是注入的應(yīng)用程序本身的腳本語言代碼的服務(wù)器端文件。

危害

用戶可能會執(zhí)行與Web服務(wù)器權(quán)限外的任意系統(tǒng)命令。

攻擊二:Cookie操作攻擊

描述

Cookie信息很容易被攻擊者解密。由于Cookie是利用了網(wǎng)頁代碼中的HTTP或者M(jìn)ETA的頭信息進(jìn)行傳遞的,因此可以改變存儲在客戶瀏覽器中的設(shè)置。攻擊者修改Cookie信息,以欺詐的手段進(jìn)行輸入驗證。

危害

通過利用此漏洞,攻擊者可以進(jìn)行固定會話攻擊。在一個固定會話攻擊中,攻擊者使用他人的信息進(jìn)行會話,然后以用戶身份登錄到目標(biāo)服務(wù)器,最后再消除登陸會話的ID。

攻擊三:CRLF注入/ HTTP響應(yīng)拆分攻擊

描述

該腳本很容易被將CRLF命令注入到系統(tǒng)中。HTTP頭的定義就是基于“Key: Value”的結(jié)構(gòu),用CRLF命令表示一行的結(jié)尾。這就意味著攻擊者可以通過CRLF注入自定義HTTP 頭,導(dǎo)致其可以不經(jīng)過應(yīng)用層直接與服務(wù)器對話。HTTP響應(yīng)拆分漏洞是一種新型的Web攻擊方案,它重新產(chǎn)生了很多安全漏洞包括:Web緩存感染、用戶信息涂改、竊取敏感用戶頁面、跨站腳本漏洞。攻擊者可以發(fā)送一個或幾個HTTP指令迫使漏洞服務(wù)器產(chǎn)生一個攻擊者構(gòu)想好的輸出。它可以讓服務(wù)器誤把幾條HTTP請求看成一次完整的HTTP請求來解釋。

危害

一個遠(yuǎn)程攻擊者可以注入自定義的HTTP頭。例如,攻擊者可以注入會話Cookie或HTML代碼。這種行為可能導(dǎo)致跨站腳本攻擊固定會話攻擊。

攻擊四:跨站腳本攻擊

描述

跨站腳本(也稱為XSS攻擊)是一個漏洞,攻擊者可以發(fā)送惡意腳本(通常以JavaScript的形式)到另一個用戶。由于瀏覽器無法分辨此信息是否可信,入侵者運用腳本將Cookie保存了完整的用戶名和密碼資料保存到記錄頁面中。

危害

XSS可使用的技術(shù)有JavaScript、VBScript、 ActiveX、 或 Flash, 且通常通過頁面表單提交注入到web應(yīng)用中并最終在用戶的瀏覽器客戶端執(zhí)行。

攻擊五:目錄穿越攻擊

描述

目錄穿越漏洞允許攻擊者訪問受限制的目錄可以訪問Web服務(wù)器的根目錄。

危害

通過利用目錄穿越漏洞,攻擊者在一個Web服務(wù)器上使用這個軟件除了可以訪問服務(wù)器的根目錄外還可以訪問目錄里面的數(shù)據(jù),導(dǎo)致Web服務(wù)器完全妥協(xié)。

攻擊六:列入攻擊

描述

這個腳本包含一個用戶提供的有確定名字的數(shù)據(jù)文件。這個數(shù)據(jù)未經(jīng)正確驗證就被傳遞。

危害

遠(yuǎn)程攻擊者可以通過在本地遠(yuǎn)程控制文件資源和,或者執(zhí)行與該Web服務(wù)器的權(quán)限外的任意腳本代碼。

攻擊七:LDAP注入漏洞攻擊

描述

LDAP是輕量目錄訪問協(xié)議,它是基于X.500標(biāo)準(zhǔn)的開放式標(biāo)準(zhǔn)協(xié)議。當(dāng)一個Web應(yīng)用程序沒有正確消除用戶提供的輸入信息,是很有可能被攻擊者改變LDAP語句的設(shè)置。

危害

攻擊者能夠修改LDAP聲明,這一進(jìn)程將運行與組件執(zhí)行的命令相同的權(quán)限。(如數(shù)據(jù)庫服務(wù)器、Web應(yīng)用服務(wù)器、Web服務(wù)器等)。這可能會導(dǎo)致嚴(yán)重的安全問題,如可以查詢權(quán)限外信息的權(quán)利,修改或刪除LDAP樹里面的任何信息。

攻擊八:PHP代碼注入攻擊

描述

PHP代碼注入漏洞,允許攻擊者將自定義代碼番禺網(wǎng)站設(shè)計注入到服務(wù)器端腳本引擎中。通過此漏洞,攻擊者無論在何時都可以控制全部輸入的字符串,把一個“eval()”函數(shù)調(diào)用存儲到字符串中,試用版本將執(zhí)行此代碼參數(shù)。

危害

用戶可能在服務(wù)器端執(zhí)行注入的惡意PHP代碼。它可以運行系統(tǒng)命令,允許系統(tǒng)讀取PHP代碼或類似的功能。

攻擊九:遠(yuǎn)程XSL攻擊

描述

該腳本很容易受到遠(yuǎn)程XSL控制。攻擊者可以到XSL文件路徑控制此腳本,其中可能包括惡意的XSL文件。

危害

遠(yuǎn)程攻擊者可以通過遠(yuǎn)程來控制本地的XSL文件。攻擊者還可以利用XSS(跨站點腳本攻擊)來控制本地文件,甚至在某些情況下還可以執(zhí)行PHP代碼。

攻擊十:腳本代碼暴露攻擊

描述

它可以讀通過使用腳本文件名作為參數(shù),這個腳本的番禺做網(wǎng)站公司源代碼??磥恚@個腳本包含一個確定的名字是使用用戶提供的數(shù)據(jù)文件。這個數(shù)據(jù)是不正確驗證之前被傳遞給包括功能。

影響

攻擊者可以收集敏感信息(數(shù)據(jù)庫連接字符串,應(yīng)用程序邏輯)通過分析源代碼。這些信息可以被用來發(fā)動進(jìn)一步襲擊。

攻擊十一:SQL注入攻擊

描述

SQL注入攻擊是一個漏洞,攻擊者可以通過操縱番禺網(wǎng)頁設(shè)計服務(wù)器端用戶輸入的SQL語句。當(dāng)一個SQL注入接受用戶輸入的Web應(yīng)用程序,直接放入一個SQL語句,不正確地篩選出危險的信息。這是目前互聯(lián)網(wǎng)上應(yīng)用的一個最常見的應(yīng)用層攻擊。事實上,盡管網(wǎng)絡(luò)應(yīng)用相對脆弱,但此漏洞相對容易防范。

危害

攻擊者可以通過此漏洞來操縱系統(tǒng)上任意的SQL語句。這可能會危害數(shù)據(jù)庫的完整性或者暴露敏感的信息。 根據(jù)所使用的后端數(shù)據(jù)庫,SQL注入漏洞導(dǎo)致不同程度的攻擊數(shù)據(jù)或網(wǎng)站建設(shè)者訪問系統(tǒng)。它可能不只是現(xiàn)有的查詢操作,或者是任意數(shù)據(jù)聯(lián)盟、使用子查詢、追加額外的查詢。在某些情況下,它可能會讀出或?qū)懭胛募蚩刂葡到y(tǒng)執(zhí)行上層命令。 如Microsoft SQL Server的某些SQL服務(wù)器包含存儲和擴(kuò)展程序(數(shù)據(jù)庫服務(wù)功能)。如果一個攻擊者能夠訪問這些程序有可能危及整個機(jī)器。

攻擊十二:XPath注入漏洞攻擊

描述

該腳本很容易受到XPath注入攻擊。

XPath注入攻擊是一種通過用戶提供的XPath查詢語句,利用網(wǎng)絡(luò)技術(shù)來構(gòu)建網(wǎng)站。

危害

未經(jīng)認(rèn)證的攻擊者可以提取一個完整的XML文檔來使用XPath查詢。這可能會損害數(shù)據(jù)庫的完整性,泄露敏感信息。

攻擊十三:盲目SQL注入(定時)攻擊

描述

攻擊十一與攻擊十二的混合體。

危害

未經(jīng)認(rèn)證的攻擊者可以執(zhí)行任意SQL系統(tǒng)及未經(jīng)保護(hù)的XPath語句。這可能會損害數(shù)據(jù)庫和完整性或者泄露敏感信息。
下一篇:淘寶商城3周年大型活動 悄然改變電商生態(tài)圈
上一篇:Facebook和T-Mobile聯(lián)合推出的服務(wù)名為“Bobsled”