标签:重定向 工作原理 防cc 数据库 script 包含 数据操作 将不 sql注入
owasp top10攻击、CC攻击、CDN概念、DNS概念、正则、OSI七层模型、WAF
全称是Open Web Application Security Project,即开放式We应用程序安全项目,是一个开源的,非营利性的全球性安全组织,致力于应用软件的安全研究。
即10项最严重的Web应用程序安全风险
全称是Challenge Collapsar,是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法。即攻击者控制某些主机不停地发送大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
取消域名绑定
取消域名绑定后Web服务器的CPU能够马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,攻击者也会对新域名实施攻击。
更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,可以修改Web端口达到防CC攻击的目的。
全称是Domain Name System,作用是根据域名查出IP地址,你可以把它想象成一本巨大的电话本。举个例子:如果你要访问域名baidu.com,首先要通过DNS查出它的IP地址是112.80.248.75。
在编写处理字符串的程序或网页时,经常会有查找符合某些复杂规则的字符串的需要。正则表达式就是用于描述这些规则的工具。换句话说,正则表达式就是记录文本规则的代码。
全称是Web Application Firewall,主要功能是拦截入侵尝试,比如SQL注入,XSS跨站脚本攻击,恶意爬虫,扫描器。
SQL注入攻击:可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
XSS攻击:其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
扫描器:扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。
标签:重定向 工作原理 防cc 数据库 script 包含 数据操作 将不 sql注入
原文地址:https://www.cnblogs.com/swtczb/p/11632553.html
