如今的網際網路中90%的應用都架設在web平台上,網上銀行、網路購物、網路遊戲,以及企業**等,成為生活和工作必不可少的一部分。所以,web安全成為繼作業系統與業務軟體安全之後又一熱點,並且持續公升溫。縱觀安全事件,重大的web攻擊層出不窮,網路安全從業者開始跟黑客們在這一焦點領域不斷的對抗。由於web平台的多樣性,以及http協議及資料庫語言的靈活性,web攻擊形式也五花八門,主要的攻擊方法有sql注入、跨站指令碼(xss)、cc(challenge collapsar)等。
山石網科分別針對這三種攻擊進行了針對性的方案設計。
目前很多web攻擊防護產品在處理sql注入和跨站指令碼攻擊的問題上,都是採用傳統入侵檢測方法,即基於正規表示式的規則匹配模式。這種方法在應對sql注入和跨站指令碼攻擊時存在很大的缺陷:一是sql注入和跨站指令碼有很多種符合語法結構的寫法並可以進行多種方式的編碼,這樣就能輕易繞過正規表示式的規則匹配模式,在檢測裝置上出現漏報;二是基於正規表示式的規則匹配模式是在攻擊發生後進行攻擊分析並提取特徵,然後對再次發生的同類攻擊進行防護,這樣的方法對0day攻擊無能為力。而且隨著攻擊特徵的不斷增加,攻擊防護對檢測裝置效能也產生了極大的影響。
山石網科採用了基於語法分析的方式進行檢測。任何企圖進行sql注入或跨站指令碼攻擊的資料,不管形式如何變化,都必須滿足sql和html語法的規定,山石網科根據這種特點進行攻擊檢測,不僅零特徵,可避免0day攻擊,而且以不變應萬變,誤報和漏報被最大限度的壓縮。
圖 山石網科 sql注入&跨站指令碼攻擊防護方案
cc攻擊防護的關鍵在能夠識別和區分出正常使用者的訪問和惡意的攻擊。對於惡意攻擊的識別,山石網科採用了如下四種方法,使用者可以根據實際情況選擇使用:一是auto-js-cookie:閘道器向客戶端傳送head帶set-cookie的響應報文,一些程式自動發起的攻擊則無法正確回應。二是auto-redirect:閘道器向客戶端返回重定向報文,在重定向的url中加入cookie字尾,一些程式自動發起的攻擊則無法正確回應。三是manual-confirm:閘道器在回應報文中嵌入提示資訊,並等待人工確認,通過回應的確認報文來驗證源ip的合法性,程式自動發起的攻擊和殭屍網路都無法進行這種確認。四是manual-captcha:閘道器在回應報文中嵌入乙個問答框做認證來驗證源ip的合法性,問題可以是二元加減或4字元隨機字串,進一步加大了確認難度,程式自動發起的攻擊和殭屍網路都無法進行這種確認。同時,方案支援對開放**的識別,使用者可以選擇對通過開放**訪問的速率進行限制。
目錄訪問控制主要是為了防止web shell和敏感資訊洩露。例如web伺服器允許上傳檔案,但是由於過濾不嚴格,攻擊者通過這個機制上傳了惡意**(web shell)。為了發現這樣的惡意上傳,可以把上傳的儲存的目錄設定成static。這樣山石網科安全閘道器就會檢查使用者訪問請求post資料和uri中是否有動態可執行**,以及請求檔案的字尾名是否已知的動態指令碼字尾(例如.asp、.php、.js等等);同時伺服器的應答報文也會被檢查是否有動態可執行**。web路徑下,有時候包含資料庫連線檔案(裡邊包含了資料庫路徑、使用者名稱、口令等資訊),這些檔案是被web伺服器上其他檔案引用的,不允許使用者直接訪問他們。此時,就可以把它們的訪問控制模式配置成deny。
在部署上,山石網科建議將安全閘道器直接部署在web伺服器前,對web伺服器進行防護,可以滿足企業使用者日常的web伺服器防護需求。
php fpm宕機怎麼破
用nginx php7搭建了一台伺服器,因為請求量太大,而且php裡面又有掛起的任務,導致php fpm在高峰期的時候經常死掉,把php fpm的最大程序數已經改到1000了,還是吃不消,cpu也是超負荷,每次都要手動重啟,太煩人,因此本人寫了乙個shell指令碼,後台監聽php fpm,等達到一定...
常見Web攻擊
1.sql注入的危害 2.例項 mysqldb 通過在使用者名稱裡面構建乙個sql語句,達到了我們在執行sql語句的時候永遠為真的情況 username or 1 1 username request.post.get username password request.post.get passw...
web攻擊模式
主動攻擊 攻擊者直接訪問web應用,把攻擊 傳入的攻擊模式.代表的有sql注入攻擊和os命令注入攻擊 被動攻擊 被動攻擊 passive attack 是指利用圈套策略執行攻擊 的攻擊模式。在被動攻擊過程中,攻擊者不直接對目標 web 應用訪問發起攻擊。被動攻擊通常的攻擊模式如下所示。步驟 1 攻擊...