最近負責的乙個**老是被黑客攻擊,實在是煩人,都想報網警了。不過又不想把事情鬧大,於是心想先自己看看怎麼把黑客攻擊擺平吧。公司**用的是阿里雲伺服器,在安全上,阿里雲還是做的不錯的,黑客上傳的木馬檔案和攻擊路徑清清楚楚【關鍵是還沒有收費】,很快就把黑客上傳的木馬病毒檔案都給刪除了。
總結:做網際網路的,安全非常重要,越有價值的**越受黑客歡迎。在許可權策略上,一般上傳的檔案均需要設定不可執行許可權;在伺服器選擇上,安全性及相應處理措施優秀的廠家才值得信賴;技術上,對xss(cross-site scripting)攻擊,sql注入攻擊,csrf(cross—site request forgery)跨站請求偽造攻擊也要特別注意,注意在**層面處理這兩個問題發生的可能性。
知識點普及:
xss攻擊:xss表示cross site scripting(跨站指令碼攻擊),通過插入惡意指令碼,實現對使用者遊覽器的控制
假如使用者提交的資料含有js**,不做任何處理就儲存到了資料庫,讀出來的時候這段js**就變成了可執行的**,將會產生意向不到的效果。一般使用者提交的資料永遠被認為是不安全的,在儲存之前要做對應的處理。這次我就遇到了這個問題,
提交的資料用下面的這個方法過濾一下,可以有效的防範xxs的攻擊
sql注入攻擊:ql注入攻擊中以sql語句作為使用者輸入,從而達到查詢/修改/刪除資料的目的,使用sql的時候,應該多注意使用繫結引數!另外我們**使用的ef技術,entityframework(以後簡稱ef)作為一款orm非常的實用,能夠大幅度的提高開發速度,ef生成的sql語句,一般是用parameter進行傳值,所以不會有sql注入的問題,但是如果直接使用entity sql 查詢的話,還是有一定的風險性,還是需要進行sql過濾的。具體的參見:或者乾脆就不適用enity sql技術,只用linq to entitys就可以了。
csrf跨站請求偽造攻擊:你這可以這麼理解csrf攻擊:攻擊者盜用了你的身份,以你的名義傳送惡意請求。csrf能夠做的事情包括:以你名義傳送郵件,發訊息,盜取你的賬號,甚至於購買商品,虛擬貨幣轉賬…造成的問題包括:個人隱私洩露以及財產安全。
大致過程如下:
csrf攻擊攻擊原理及過程如下:
1. 使用者c開啟瀏覽器,訪問受信任**a,輸入使用者名稱和密碼請求登入**a;
2.在使用者資訊通過驗證後,**a產生cookie資訊並返回給瀏覽器,此時使用者登入**a成功,可以正常傳送請求到**a;
3. 使用者未退出**a之前,在同一瀏覽器中,開啟乙個tab頁訪問**b;
4. **b接收到使用者請求後,返回一些攻擊性**,並發出乙個請求要求訪問第三方站點a;
5. 瀏覽器在接收到這些攻擊性**後,根據**b的請求,在使用者不知情的情況下攜帶cookie資訊,向**a發出請求。**a並不知道該請求其實是由b發起的,所以會根據使用者c的cookie資訊以c的許可權處理該請求,導致來自**b的惡意**被執行。
黑客的一次攻擊行為
主要由 隱藏自己 預攻擊探測 攻擊行為 擦除痕跡 四個步驟構成。一般完整的攻擊過程都是先隱藏自身,在隱藏好自己後再進行預攻擊探測,檢測目標機器的各種屬性和具備的被攻擊條件,然後採取相應的攻擊方法進行破壞,達到自己的目的,之後攻擊者會刪除自己的行為日誌。1 隱藏自己 常見的攻擊者隱藏自身的方式有以下幾...
一次資源耗盡的教訓
ssh exchange identification read connection reset by peer 我趕緊嘗試登入,果然出現了,然後運維的在機房一查說資源耗盡了 然後老大就開始問裡面都有什麼我們知道的服務,評估一下是否能重啟,重啟後都需要開啟哪些服務,我就直接說了我知道的兩個ci 服...
一次慘痛的面試教訓
這已經是乙個多星期以前的事情了 2011年7月29日 但是想起來,感覺還是挺不好。寫出來,希望給大家提供乙個反面教材,大家以後面試時,一定注意。這是在第二面中遇到的乙個問題,問題很簡單。但是,不簡單 的我給自己挖了乙個坑,自己還渾然不覺地跳了進去,進去也出不來時,才發現自己給自己挖了個坑。實在是鬱悶...