原创作品,未经Julian 本人授权不得转载,侵权必究。 大家好,从上面的图片可能有人猜到了,这是坐落在武汉电视塔下,江滩旁的“大禹治水”的雕塑群。武汉人民一直多有抗洪的精神和能力。接连数日的暴雨,让武汉及周边地区都成了东方威尼斯。那天要回武汉办离校手续的表弟特地问我借望远镜(别问我为何常备此物)去“看海”。我很严肃的对他说“你是江城赤子,怎能做在黄鹤楼上看风景,要乘机投入到抗洪的战斗中才是!”同时,我也乘机“唐僧”式的教育他说:“望远镜能帮你看清前进的目标,却不能缩短要走的路程哦”。是啊。想来,又到了“凤凰花开”时节,童鞋们,或是互诉衷肠,或是泪撒满襟。让我们在踏上人生新的征途前,为自己母校和所在城市尽绵薄之力吧。或许你已经在奔赴新工作的地的旅途了吧?百无聊赖之际,不要再低头刷微信了,顺手点开咱们这篇【要不要和巨廉再读读书?】吧。让我们来巩固和加强一下,那些年我们学过的信息安全知识吧。知识是要有的,万一以后工作用上了呢?
Let’s continue。
九.防止应用层攻击
9.1 阻断非ASCII字符的请求: 攻击者在输入中植入一或多个NULL字符为结尾,让目标软件停止处理,甚至转换成可执行的代码。 使用 OWASPModeSecurity CRS中的modsecurity_css_20_protocol_violations.conf来检查。
9.2 攻击者通过访问地址信息(URL)里添加/../等来遍历路径以获得系统文件的内容,此法通常会在路径遍历的数据后增加NULL字符(%00)
9.3 暴力攻击者使用穷举的方式来识别网站中通过URL无法直接访问的资源。常用方法是添加新的哈希值到URL中。
9.4 阻断SQL注入攻击,使用关键字正则表达式黑名单的不同规则进行过滤和贝叶斯攻击分析方法。
9.5 防止远程文件包含(RFI)攻击
1. 使用PHP内部关键字函数,如include()或require()等后面跟上外部攻击链接。应对方法可以是检查URL里是否包含IP地址,因为大多数合法的URL引用都包含域名/主机名而不是IP。
2. 使用多余的问号或注释说明符合,使得本地PHP代码后面的内容被当作RFI包含注入进恶意代码参数,进而忽略掉后面原来的代码,只执行恶意代码。
3. 由于网站正常情况下不会使用外部站点的链接,所以可以检测参数中的域名主机名,将其与请求中提交上来的Host头部数据进行比较,不匹配怎拒绝。
9.6 攻击者把一些OS命令(如DOS命令)注入到请求中,通过提权,执行命令来控制操作系统。主要是通过OWASP ModeSecurity的规则来检查。
9.7 防止HTTP请求偷渡,即攻击者通过放置两个不同的content-length在头部,利用Web缓存代理服务器或应用防火墙等HTTP实体中解析HTTP请求时的差异性,被误认为是两不同的请求,从而逃避某个处理实体的检测而达到攻击目的。阻断的办法可以通过ModSecurity把两个content-length头部字段合并成一个。
9.8 请求响应分割恶意构造的HTTP请求让有漏洞的WEB服务器产两个响应流给客户端,导致客户端把被注入的头部当成第二个请求的响应所缓存到浏览器。
9.9 XML攻击:攻击者在输入中包含向XML数控注入XPath表达式,从而直接操作XML数据库。 对策是,开启XML请求体的解析,利用规则将XML内容与本地的.xsd文件(如SoapEnvelope.xsd)进行校验,当无法匹配模式文件时产生报警。
十一. 文件上传功能防护
11.1检测文件大小,以免耗尽服务器资源。
11.2 检测是否上传了大量文件.
11.3 检测文件附件是否有恶意程序。反病毒(AV)软件只会扫描已经存在于操作系统的文件,而需要检测到文件只短暂通过HTTP传输,它们穿过反向代理服务器、负载均衡服务器及其他HTTP请求处理实体,最终以blob格式存放在数据库中,所以AV无法检测。因此需要将这些文件附件提取出来进行扫描。
好了,今天暂时先读到这里了,因为心系武汉的暴雨灾情,我的心里早就已经湿漉漉的了。哥不说什么“今天我们都是武汉人”之类的口号,因为哥本来就是武汉人,一直都是永远也是!我不想在这里晒技术,晒幸福什么的,我只想帮家乡的同胞们晒被子!
