Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

DDOS攻击漏洞和文件上传漏洞 如何理解?



      ddos攻击的原理是什么?如何防御?分布式拒绝服务攻击是由于黑客控制引起的服务器资源

枯竭,占用了资源。例如,很多人来到餐厅填满座位,他们不点菜,只占座位,这样普通的客人

就不能吃饭了。防御:购买防d服务,流量清洗,带宽。反映xss脆弱性的原则?如何防御?通过

外部输入直接在浏览器上触发的反射式xss,防御:(1)特殊字符html实体转码。最好的过滤方

法是添加html实体,如转码,以防止在输出和次要调用期间注入脚本。(2)标记事件属性黑名单。

特殊字符很容易绕过,因此必须用黑名单或白名单标记事件,建议使用白名单,规则可以与正则

表达式直接匹配,如果匹配的事件不在白名单中,则可以直接拦截它们,而不是过滤掉它们。
 
 
 
请求伪造的理由是什么?用户的url和服务器端返回的信息需要过滤,否则黑客会请求伪造攻击。

一个名为csrf的客户机发生在服务器上。
 
 
 
文件上传漏洞和防御原则?程序员在开发任何文件上传功能时,都没有考虑到文件格式后缀的合

法性检查者是否只在前端通过js检查后缀。此时,攻击者可以将与站点脚本语言相对应的恶意代

码动态脚本(如jsp、asp、php、aspx文件后缀)上传到服务器,从而访问这些恶意脚本中包含

的恶意代码,然后动态解析它,以实现执行恶意代码的效果,进一步影响服务器安全。



 
服务器打开了不正确的设置或存在解析漏洞(例如,当nginx打开fast-cgi时,它上传文件带有。

jpg内容到木马,然后访问。jpg/。php在此目录中生成特洛伊木马)或打开不安全的方法(例如,

put和delete,如apache的解析漏洞(其中文件名为abc.x1.x2.x3),apache从x3开始解析。iis6.0

在解析asp时有两个解析漏洞,一个是如果任何目录名包含一个.asp字符串,那么该目录下的所

有文件将根据asp进行解析,另一个是文件名包含asp;解析首选为asp。
分享: