压力测试
DDOS和cc攻击
羊毛党(抢红包、抢茅台、12306刷票) 利用打码、VPN代理、UA模拟、手机、电脑群控等
投票、刷广告黑产、做任务
刷CDN流量
爬虫(搜索引擎)
提权(获取网站后台、服务器管理权限、破解WiFi密码)
盗取WEB数据库数据(开房记录、CSDN用户数据)
白帽,测试漏洞研究
先看三个我司遇到的案例
肉鸡也称傀儡机,是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。
一个目的:造成较大的业务损失 两个方法:堵塞有限带宽,耗尽有限计算资源 三类攻击: DDos流量攻击 链接资源耗尽网络层CC攻击 应用资源耗尽类型攻击
这种攻击会利用到一些协议漏洞,比如UDP、SMP协议,很轻易地构造出过载大报文来堵塞网络入口,这就导致正常请求很难进入。
二、耗尽计算资源型攻击——连接耗尽
最典型的就是网络层CC,利用HTTP协议的三次握手,给服务器发一半的三次握手请求,后续的一些请求不再发了,所以服务器端就会等待,进而占用大量的资源,导致服务器连接资源直接被耗尽,服务不可持续。
三、耗尽计算资源型攻击——应用耗尽
典型是是7层的应用层CC攻击。这种攻击发出的攻击请求,从报文来看,看不出他有非常明显的畸形或有害性,很难去做相应的判断。由于七层CC都是正常的业务请求,同时CDN只是缓存内容,并不了解业务逻辑,同时业务也经常会遇到客户业务突发,当CC攻击时,如果无特殊的错误码异常,从CDN角度来看会和正常的业务上量是一样的,因此也会尽力服务。进而CC攻击会形成突发带宽峰值,进而产生高额账单,因此给客户造成了较大的经济损失。
Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。[百度百科]
第一个阶段:DoS攻击(单机)
基于一个单点的服务器进行攻击流量的发送。这时流量规模在500Mbps到10Gbps之间,由于传统服务器的硬件、服务性能、带宽水平都有限,在这样的流量规模之下,就可以造成服务器的全面瘫痪,甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护,再回到服务器,就可以达到防御目的。同时,也可以对相应的原IP进行封禁。
第二阶段:DDoS攻击(分布式)
也就是分布式的DoS攻击,它的攻击源就不是单点的服务器,而是一群僵尸网络,黑客通过系统漏洞在网络上抓取大量肉鸡,运用这些肉鸡在不同的网络里去同时发起攻击,造成的带宽规模可能从10Gbps到100Gbps。对这种分布式的僵尸网络攻击形式,通常防御手段就是用多点的大流量清洗中心去做近源的流量压制,之后再把清洁流量注回到服务器。
第三阶段:DRDoS,分布式反射型拒绝服务攻击。
互联网上的肉鸡抓取可能存在困难,但一旦被发现,很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后,会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备,在处理协议的过程中可能会形成一个攻击流量成本的放大,比如请求NTP 10K返回50K,请求的原地址改成目标服务器,所有终端都以为受害主机在请求,所有请求都会回到受害主机。整个流量可能会从100Gbps到2Tbps之间,所以对于这种攻击一个是要在很多的协议源头去做流量的阻断,另一个就是还要通过全球化分布式的DDoS进行相应防御。
第一种是混合利用MySQL的内联注释与注释进行绕过攻击;
第二种是利用JavaScript特殊的宽编码进行绕过;
第三种是利用Linux环境变量符号进行绕过;
第四种是利用变形eval、混合运算、非闭合php代码标签进行绕过
根据使用阿里云爬虫风险管理产品的用户流量统计,房产交易、交通、游戏、电商、资讯论坛几个行业中恶意爬虫的占比都超过了50%。
这些行业的用户有一个显著的特点是,他们往往对外提供的服务内容有着很强的时效性,比如不同城市的新上房源、不同线路的票务信息、商品价格、简历信息等等,所以会吸引大量爬虫持续的爬取以获取最新的资讯。比较特殊的一个是游戏行业,爬虫则总是聚焦在虚假账号和挂机两个经典场景。
从区域来源上看,东南亚和美国的流量中恶意爬虫的占比相对较高,当然爬虫的绝对数量上看还是中国大陆占据大头。随着近些年国内黑灰产的专业程度越来越高,手上掌握的全球代理IP资源也越来越丰富,IP层面的对抗已经非常艰难,防护要更多的考虑其他的维度,如设备指纹、异常行为分析、威胁情报以及业务层面的对抗。
从国内的省份分布来看,北京、江苏、浙江分列爬虫流量占比的前三位,随着秒拨IP的全面普及,爬虫的来源分布会越来越模糊,“大隐隐于市”,最终无限逼近真实用户的分布情况:
从爬虫来源运营商的请求量绝对值分布来看,三家运营商和阿里云占就据了约98%的流量:
机器流量手法分级,我们按照机器流量攻击的复杂度和防御难度,对构建机器流量的手法进行分级:
【简单接口爬虫】:直接构造脚本请求,或使用开源爬虫框架进行攻击的初级攻击者
【协议伪造者】:尝试在协议、网络指纹、操作链路方面与风控系统进行对抗,拥有将脚本流量尽可能伪造成正常人流量或搜索引擎流量的攻击者
【driver玩家】:通过driver协议,编写脚本直接控制浏览器进行自动化操作(如WebDriver、Marionette等)的攻击者
【系统层模拟攻击】:通过软件直接在系统底层生成操作事件消息(如按键精灵、API宏等)的方式伪造行为,控制系统中的定制化浏览器的攻击者。利用手机模拟器的攻击手法也被归为此类当中(、 Java、 ROR、 Python、NodeJS等编程语言搭建网站的后台,选择Mysql、 Oracle、SQL Server等数据库来存储数据。SQL注入就是针对的这样的网站发起的攻击。假如有一个列表页面,请求URL是这样的:
/(纽约时报)、Metafilter(一个大型的BLOG网站)和YouTube等。但直到现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。 那么,我们先来看一下CSRF的攻击原理吧:
如果图中的流程看的不是太明白,那么我们来看一个例子(摘抄自网络):
受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求: 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该session 的用户 Bob 已经成功登陆。
黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行: 但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码:src=””,并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。
大多数情况下,该请求会失败,因为他要求 Bob 的认证信息。但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的cookie 之中含有 Bob 的认证信息。这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。
- 在请求地址中添加token并验证
- 在HTTP头中自定义属性并验证。
Referer 是HTTP协议定义的一个头字段,它记录了该HTTP请求的来源地址。通过Referer就可以简单的区分出这次请求是来自哪里,并做到基本的防范。 但Referer毕竟是由请求者发起的,如果你用的是IE6浏览器(鄙视下IE),依然是可以伪造的。
GET常用在查看,列举,展示等不需要改变资源属性的时候。因为GET方式参数是直接呈现在url中的,很方便,但也很不安全。所以不要以GET方式开放不安全的接口。
在请求地址中添加token并验证
在正确使用GET 的前提下,对于非GET请求,如POST,可以用在创建、修改、删除资源或者做其他一些相对敏感的事情。而且需要为每一个用户生成一个唯一的Token存放在Cookie或LocalStorage里面,并附带在Post请求中。但是由于XSS可以轻易的获取用户的Cookie或Local Storage,这种方式也不是十分的安全。
在HTTP头中自定义属性并验证
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上csrftoken这个 HTTP 头属性,并把 token 值放入其中。而且,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心token 会透过 Referer 泄露到其他网站中去。
不同的表单包含一个不同的伪随机值。这种做法,其实在一些知名的开源WEB框架里面早就有了,如:PHP的Drupal,Python的Flask,只是国人安全意思太薄弱,太后知后觉了。伪随机数的原理也很简单:
- 当页面表单生成的时候由后端服务生成伪随机数放置在表单的隐藏域里面,并在后端缓存伪随机数。
- 表单提交的时候后端服务器验证伪随机数的正确性和时效性,删除缓存的伪随机数。
这样做不仅可以避免CSRF攻击,同时可以避免表单的重复提交。
介绍:倘若web网站没有对文件类型进行严格的校验,导致可执行文件上传到了服务器,恶意程序就会执行。
防御:客户端检测 :程序员一般使用 JavaScript 来拒绝非法文件上传。
1)白名单与黑名单验证:定义不允许或允许上传的文件扩展名;
3)目录验证:在文件上传时,程序通常允许用户将文件放到指定的目录中,如果指定的目录存在,就将文件写入目录中。
1.修改ssh默认登录端口22和mysql默认端口3306为其他不常用端口,如34392等;
2.编写脚本监测/var/log/secure文件(该文件是linux系统的登录日志),如果有登录失败的IP,则将该IP添加至/etc/hosts.deny文件(该文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。tcpd的配置文件有两个:hosts.allow和hosts.deny,通过它们可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。具体可参考:)
3.禁止用户使用密码登录,使用密钥登录
密切注意第三方代码,及时打补丁。
页面的右下角被插入了广告。 流量劫持总体来说属于中间人攻击(Man-in-the-Middle Attack,MITM)的一种,本质上攻击者在通信两端之间对通信内容进行嗅探和篡改,以达到插入数据和获取关键信息的目的。
使用HTTPS防止流量劫持
DNS这个环节可以被太多因素影响,所以不少利益相关者都会在这里面做手脚。例如,DNS劫持就是非常常见的广告投放手段,你打开百度或者输入你正确的目标域名网址,整个网页却被强制跳转到XX娱乐城,这就是典型的DNS劫持。
https只能解决http流量劫持,对于dns劫持 https无效 经过测试发现域名是直接被劫持 解析到劫持的服务器ip去,向运营商、工信部投诉。
手动修改DNS服务器地址: 备用DNS服务器(A)空格处分别填上8.8.4.4
制定严格操作流程,防止出现操作失误
身份证认证接口 3分 0.28 必须要有安全验证 验证码+鉴权 大型活动之前,提前cdn预热,redis缓存 apk下载连接地址,有鉴权0day漏洞,又称“零日漏洞”(zero-day),是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。
原理是网络运营商公网的IP分配方式,比如Modem、ISDN、ADSL、有线宽频、小区宽频之类的宽带业务就是动态的,由你拔号上去后,服务器临时分配你一个IP地址用于上网,断线后这个IP地址就收回了,下次再上去,又会由服务器临时分配一个IP地址给你,这就是动态IP。
所谓的秒换在于产商的硬件与优化程度通过服务器进程线路实现秒换ip 效果,打开某一个程序或浏览器 实现单窗口单ip,在于承包运营商的优化技术,专业技术上实现秒换。如果有的地区VPS没有办法秒换是在于承包商的技术问题,比较好的秒换有 等拨号VPS。 由于其主机对外开放了诸如WWW 、FTP 、E-mail等访问服务,通常要对外公布一个固定的IP地址,以方便用户访问。当然,数字IP不便记忆和识别,人们更习惯于通过域名来访问主机,而域名实际上仍然需要被域名服务器(DNS )翻译为IP地址!所以为了IP资源不浪费全世界一共有43亿个IP按人分配资源就很少了,所以运营商就形成了两种模式公网IP和私有IP,公网IP可以与网络公司共享运营,增加运营商的额外利润。有需求就有市场,秒换最好找一些有试用的厂家可以对比选择!
web安全知识点(常见web攻击总结)
