人气排行榜
如何防止跨站脚本攻击:增强您的网站安全性 (如何防止跨站脚本攻击)
跨站脚本攻击(XSS)是一种常见的网络攻击,它会利用网站或应用程序中的漏洞,注入 malicious 脚本到用户浏览器中。这些脚本可以窃取敏感信息(例如 cookie、会话 ID 和信用卡号)、劫持用户会话、传播恶意软件,甚至控制目标机器。
防止 XSS 攻击至关重要,以保护您的网站和用户的数据。以下是增强网站安全性并防止 XSS 攻击的一些最佳实践:
1. 输入验证
输入验证是防止 XSS 攻击的第一道防线。它涉及对所有用户输入进行验证,以确保其安全且不包含恶意脚本。
可以使用正则表达式或白名单来验证输入。正则表达式可以匹配特定模式的字符串,而白名单则仅允许特定值的字符串。
2. 输出编码
输出编码是在向浏览器发送数据之前,将特殊字符(例如尖括号 (< 和 >) 和引号 (单引号 (') 和双引号 (")) 替换为 HTML 实体。这可以防止脚本在浏览器中执行。
PHP 具有内置的 htmlspecialchars() 函数,可用于对输出进行编码。其他编程语言也有类似的函数。
3. 使用内容安全策略(CSP)
CSP 是一种 HTTP 头,它指定允许在网站上执行的脚本的来源。它可以通过限制脚本的来源,来防止 XSS 攻击。
CSP 可以通过在 HTTP 头中设置以下标头来实现:
Content-Security-Policy: script-src 'self';
4. 使用安全cookie
Cookie 经常被 XSS 攻击者用来窃取敏感信息。通过设置 HttpOnly 和 Secure 标志,可以创建安全 Cookie,以防止这些攻击。
setcookie('username', 'admin', time() + 3600 24, '/', '', true, true);
5. 保持软件和脚本最新
软件和脚本中的漏洞和错误可能会导致 XSS 攻击。通过定期更新软件和脚本,可以修补这些漏洞并防止攻击。
6. 对用户进行教育
对用户进行 XSS 攻击的教育也很重要。用户需要了解 XSS 攻击的危险,并学会识别和避免可疑链接和网站。
结论
防止 XSS 攻击需要多管齐下的方法。通过实施输入验证、输出编码、使用 CSP、使用安全 Cookie、保持软件和脚本最新,以及对用户进行教育,您可以增强网站安全性并保护用户免受 XSS 攻击。
记住,网络安全是一个持续的过程。随着新漏洞和新攻击技术的出现,重要的是定期审查和更新您的安全措施,以确保您的网站始终受到保护。
分析网站被频繁攻击的原因以及怎样预防?
网站经常被黑的的根本原因主要有以下几点:
1、跨站脚本(XSS)
XSS漏洞是最普遍和最致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击。
2、注入漏洞
当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙。
3、恶意文件执行
黑客们可以远程执行代码、远程安装Rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用最普遍的一种脚本语言。
4、跨站指令伪造
这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的,部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。
5、信息泄露和错误处理不当
各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。
6、不安全的认证和会话管理
如果应用软件不能自始至终地保护认证证书和会话标识,用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。
7、不安全的加密存储设备
虽然加密本身也是大部分网络应用软件中的一个重要组成部分,但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术,其设计也是粗制滥造的。
8、不安全的通信
与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。
这类分析会牵扯到很多方面的问题,如服务器系统,应用端口,软件漏洞,代码漏洞,网页JS问题,数据库注入等等很多不安全因素都有可能被扫描并攻击。
至于预防,除了常规预防手段之外,个人感觉最有效的办法就是:
1、监测分析。利用网络分析软件抓取数据包进行分析,排除可疑的报文,提前预防。
2、勤补漏洞。修复已知的各种漏洞,让网站运行更安全。
网页出现"IE已对此页面进行了修改,以帮助阻止跨站脚本处理"怎么办
出现该提示时,可以尝试点击浏览器的“工具”菜单,选择“Internet选项”,然后在“安全”选项卡中,将安全级别设置为默认级别,以此来解决问题。 若问题仍然存在,建议关闭浏览器的“XSS筛选器”功能。 1. 问题来源:该提示通常出现在Internet Explorer浏览器中,意味着浏览器检测到了可能存在的跨站脚本攻击(XSS)并自动进行了拦截。 跨站脚本攻击是一种常见的网络攻击方式,攻击者通过在网页中插入恶意脚本,窃取用户的cookie、会话令牌等敏感信息,或者进行其他恶意操作。 2. 解决方案一:重置安全级别:Internet Explorer浏览器提供了安全级别设置功能,用户可以根据需要调整浏览器的安全级别。 当浏览器检测到可能的跨站脚本攻击时,会自动提高安全级别,阻止恶意脚本的执行。 因此,将安全级别设置为默认级别,可以解决这个问题。 具体操作步骤是:点击浏览器的“工具”菜单,选择“Internet选项”,在弹出的对话框中选择“安全”选项卡,将安全级别滑块调整到“默认级别”,然后点击“确定”按钮保存设置。 3. 解决方案二:关闭XSS筛选器:如果问题仍然存在,可以尝试关闭浏览器的“XSS筛选器”功能。 XSS筛选器是Internet Explorer浏览器提供的一种安全防护功能,可以自动检测并拦截跨站脚本攻击。 但是,有时候XSS筛选器会误判一些正常的脚本为恶意脚本,导致网页无法正常显示。 关闭XSS筛选器的方法是:点击浏览器的“工具”菜单,选择“Internet选项”,在弹出的对话框中选择“安全”选项卡,取消勾选“启用XSS筛选器”复选框,然后点击“确定”按钮保存设置。 需要注意的是,关闭XSS筛选器可能会降低浏览器的安全性,因此需要谨慎操作。 例如,在某些在线购物网站或银行网站上,为了提供更好的用户体验或保障交易安全,可能会使用一些复杂的JavaScript脚本。 而IE的XSS筛选器可能会误判这些脚本为恶意代码,导致页面显示异常。 此时,用户可以根据上述方法进行调整,以确保网页正常显示。 但建议在操作之前,确保了解相关风险并备份重要数据。
如何防止http TRACE 跨站攻击
如果一台 Web Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。
Trace 和 Track 是用来调试 Web 服务器连接的 HTTP 方式。
我们通常在描述各种浏览器缺陷的时候,把“Cross-Site-Tracing”(跨站攻击)简称为 XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案:禁用 Trace 和 / 或 Track 方式。
针对 Apache,可以借助 mod_rewrite 模块来禁止 HTTP Trace 请求。
只要在各虚拟主机的配置文件里添加如下语句:RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* - [F] 补充其他 Web Server 的解决方案:1、Microsoft IIS使用 URLScan 工具禁用 HTTP Trace 请求,或者只开放满足站点需求和策略的方式。
2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:在 文件的默认 object section 里添加下面的语句:
如何防止跨站攻击~~~
除了自身的硬件条件外,还需要对你的服务器做出安全设置控制,用2003系统来说下具体安全设置如下: 1、服务器安全设置之--硬盘权限篇 这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。 本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。 硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 主要权限部分: Administrators 完全控制 无 该文件夹,子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制 只有子文件夹及文件 <不是继承的> SYSTEM 完全控制 该文件夹,子文件夹及文件 <不是继承的> 其他权限部分: 如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。 如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。 如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用 硬盘设置需要根据你的实际需要来设置权限! 2、服务器安全设置之--系统服务篇(设置完毕需要重新启动) *除非特殊情况非开不可,下列系统服务要停止并禁用: 1、Alerter 2、Application Layer Gateway Service 3、 Background Intelligent Transfer Service 4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同。 如果你装有虚拟主机系统,设置当然也不一样!更详细设置可以根据自己的需要找更详细的参考资料。 3、服务器安全设置之--组件安全设置篇 (非常重要!!!) A、卸载 和 组件,将下面的代码保存为一个文件执行(分2000和2003系统) win2000 regsvr32/u C:\WINNT\System32\ del C:\WINNT\System32\ regsvr32/u C:\WINNT\system32\ del C:\WINNT\system32\ win2003 regsvr32/u C:\WINDOWS\System32\ del C:\WINDOWS\System32\ regsvr32/u C:\WINDOWS\system32\ del C:\WINDOWS\system32\ B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改 【开始→运行→regedit→回车】打开注册表编辑器 然后【编辑→查找→填写→查找下一个】 用这个方法能找到两个注册表项: {-C279-11CE-A49E-0} 和 。 第一步:为了确保万无一失,把这两个注册表项导出来,保存为 文件。 第二步:比如我们想做这样的更改 -C279-11CE-A49E-0 改名为 -C279-11CE-A49E-1 改名为 _nohack 第三步:那么,就把刚才导出的文件里的内容按上面的对应关系替换掉,然后把修改好的文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。 这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。 其实,只要把对应注册表项导出来备份,然后直接改键名就可以了。 和 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。 注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。 下面是另外一种设置,大同小异。 一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\\ 改名为其它的名字,如:改为 FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\ 2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\ 如何禁止Guest用户使用来防止调用此组件? 使用这个命令:cacls C:\WINNT\system32\ /e /d guests 二、禁止使用组件 可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\\及HKEY_CLASSES_ROOT\.1\ 改名为其它的名字,如:改为_ChangeName 或 .1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\\CLSID\项目的值 HKEY_CLASSES_ROOT\.1\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 三、禁止使用组件 可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\\ 及 HKEY_CLASSES_ROOT\.1\ 改名为其它的名字,如:改为_ChangeName 或 .1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\\CLSID\项目的值 HKEY_CLASSES_ROOT\\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 禁止Guest用户使用来防止调用此组件。 2000使用命令:cacls C:\WINNT\system32\ /e /d guests 2003使用命令:cacls C:\WINDOWS\system32\ /e /d guests 注:操作均需要重新启动WEB服务后才会生效。 四、调用 禁用Guests组用户调用 2000使用命令:cacls C:\WINNT\system32\ /e /d guests 2003使用命令:cacls C:\WINDOWS\system32\ /e /d guests 通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。 C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码) 先停掉Serv-U服务 用Ultraedit打开 查找 Ascii:LocalAdministrator 和 #l@$ak#;0@P 修改成等长度的其它字符就可以了,也一样处理。 另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。 4、服务器安全设置之--IIS用户设置方法 不同站点使用不用的IIS用户。 另外权限的设置要细致。 5、服务器安全设置之--服务器安全和性能配置 把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件 运行即可。 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoRecentDocsMenu=hex:01,00,00,00 NoRecentDocsHistory=hex:01,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] DontDisplayLastUserName=1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] restrictanonymous=dword [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters] AutoShareServer=dword AutoShareWks=dword [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] EnableICMPRedirect=dword KeepAliveTime=dwordc0 SynAttackProtect=dword TcpmaxHalfOpen=dwordf4 TcpMaxHalfOpenRetried=dword TcpMaxConnectResponseRetransmissions=dword TcpMaxDataRetransmissions=dword TCPMaxPortsExhausted=dword DisableIPSourceRouting=dword TcpTimedWaitDelay=dworde TcpNumConnections=dworde20 EnablePMTUDiscovery=dword NoNameReleaseOnDemand=dword EnableDeadGWDetect=dword PerformRouterDiscovery=dword EnableICMPRedirects=dword [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] BacklogIncrement=dword MaxConnBackLog=dwordd0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] EnableDynamicBacklog=dword MinimumDynamicBacklog=dword MaximumDynamicBacklog=dword DynamicBacklogGrowthDelta=dworda 功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源) 6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议 IP协议端口 源地址 目标地址 描述 方式 ICMP -- -- -- ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止 UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止 UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止 UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止 TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止 TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止 TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止 以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口 7、服务器安全设置之--本地安全策略设置 安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名 启用 网络访问:不允许SAM帐户和共享的匿名枚举 启用 网络访问:不允许为网络身份验证储存凭证 启用 网络访问:可匿名访问的共享 全部删除 网络访问:可匿名访问的命 全部删除 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 帐户:重命名来宾帐户 重命名一个帐户 帐户:重命名系统管理员帐户 重命名一个帐户 还有很多设置!你可以多找找资料!
如何防止跨站点脚本攻击
防止跨站点脚本攻击的解决方法:1.输入过滤对每一个用户的输入或者请求首部,都要进行过滤。 这需要程序员有良好的安全素养,而且需要覆盖到所有的输入源。 而且还不能够阻止其他的一些问题,如错误页等。 final String filterPattern=[<>{}\\[\\];\\&];String inputStr = (filterPattern, );2.输出过滤public static String encode(String target=_blank>会产生如下的结果
Welcome to our system...但是如果请求被篡改GET /?name= HTTP/1.0Host: 就会得到如下的响应
Welcome to our system...这样在客户端会有一段非法的脚本执行,这不具有破坏作用,但是如下的脚本就很危险了。 “/?cookie=”%)响应如下:
Welcome to our system...浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站,这样攻击者就得到了客户的cookie。
如何防止网站被攻击如何防止网站被攻击
如何阻止病毒对我们网络的攻击?
计算机网络分广域网和局域网。国际互联网Internet为广域网的典型代表,深入全球,遍布世界各地。当前证券系统、金融机构、企事业单位普遍应用的Netware网、WindowNT网及UNIX网为局域网的典型代表。在网络大力发展的同时,病毒也得到了大力发展,网络成了传播病毒的通道。病毒对网络的安全构成的威胁日益严重,为此应采取措施,预防病毒在网络中的传播、扩散和破坏。但网络操作系统不一样,所采取的预防方法和措施也不一样。以下介绍tware及WindowNT网上的病毒预防。
一、Novell网的病毒预防应采取如下措施:
1.控制有盘工作站的使用。多用无盘站,少用有盘站。使用无盘站后,用户只能执行服务器上的文件,这样就减少了病毒从工作站侵入网络的机会。
2.控制用户登录的权限。对普通用户,不允许具有对其他的用户目录的浏览和访问权力,以防止用户通过拷贝他人已被病毒感染的文件,将网络中的病毒传至自己目录中的文件上。超级用户越少,具有访问整个服务器全部目录的使用者则越少,这就能增大整个网络的工作安全性。
3.对重要的网络文件进行权限保护。对公用目录中的系统文件和工具软件,要设置为只读属性;对系统程序所在的目录不授予修改和管理权。这样,病毒就无法对系统程序实施感染和寄生,其他用户也不会受到病毒感染。
4.工作站是网络的入口,只要将入口管理好,就能有效地防止病毒的入侵。在工作站上安装具有实时检查、实时杀毒功能的VRV病毒防火墙,就能阻止病毒进入网络系统。
5.在网络中,安装用NLM模块方式设计、以服务器为基础、具有实时扫描病毒能力的杀毒软件,从而使服务器不被感染,消除病毒在网上的传播。这就从根本上杜绝了病毒在网络上的蔓延。
二、WindowsNT网络的病毒应采取如下措施:
服务器必须全部为32位NTFS文件分配格式。有的用户在安装系统时,一部分为16位的FAT格式,一部分为32位NTFS格式。这样就会把基于DOS的16位的病毒感染到WindowsNT服务器的FAT部分,严重时病毒破坏FAT部分而导致WindowsNT无法启动。
服务器很容易把光盘作为共享给用户调用,因此要严格控制不知名的外来光盘,以免传染上病毒。
3.用户的权限和文件的读写属性要加以控制。用户权限越大,在工作站上能看到的共享目录和文件就越多。那么一旦工作站感染上病毒,所能传染的范围就越大,破坏性就越强。若公用文件属性为只读形式,则病毒无法传播,系统就更安全。
4.由于NT很难实现无盘工作站上网,因此登入NT网络的工作站基本上为有盘站,这样为病毒进入网络创造了更多的机会。若在工作站上选择优秀的具有实时检查、实时杀毒功能的杀毒软件,则能阻止病毒从工作站进入网络系统。
5.在服务器上尽可能多的应用SQL、LotusNotes等具有C/S方式的应用软件,这样可减少病毒在网络中的传播。
6.尽量不要直接在NT服务器上运行如Office之类的办公自动化软件。因为有很多宏病毒发作是恶性的,一旦遇到发作为格式化硬盘、删除重要文件等现象,那后果就非常严重。
7.在服务器端安装基于NT服务器上开发的32位的实时检查、实时杀毒的服务器杀毒软件,可消除病毒在网上的传播。
分析网站被频繁攻击的原因以及怎样预防?
网站经常被黑的的根本原因主要有以下几点:
1、跨站脚本(XSS)
XSS漏洞是最普遍和最致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击。
2、注入漏洞
当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙。
3、恶意文件执行
黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用最普遍的一种脚本语言。
4、跨站指令伪造
这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的,部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。
5、信息泄露和错误处理不当
各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。
6、不安全的认证和会话管理
如果应用软件不能自始至终地保护认证证书和会话标识,用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。
7、不安全的加密存储设备
虽然加密本身也是大部分网络应用软件中的一个重要组成部分,但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术,其设计也是粗制滥造的。
8、不安全的通信
与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。
如何实现php的安全最大化?怎样避免sql注入漏洞和xss跨站脚本攻击漏洞
使用php安全模式
服务器要做好管理,账号权限是否合理。
假定所有用户的输入都是“恶意”的,防止XSS攻击,譬如:对用户的输入输出做好必要的过滤
防止CSRF,表单设置隐藏域,post一个随机字符串到后台,可以有效防止跨站请求伪造。
文件上传,检查是否做好效验,要注意上传文件存储目录权限。
防御SQL注入。
避免SQL注入漏洞
1.使用预编译语句
2.使用安全的存储过程
3.检查输入数据的数据类型
4.从数据库自身的角度考虑,应该使用最小权限原则,不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库,也应该为数据库分配不同的账户。web应用使用的数据库账户,不应该有创建自定义函数,操作本地文件的权限。
避免XSS跨站脚本攻击
1.假定所有用户输入都是“邪恶”的
2.考虑周全的正则表达式
3.为cookie设置HttpOnly,防止cookie劫持
4.外部js不一定可靠
5.出去不必要的HTML注释
6. 针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数。
XSS攻击如何实现以及保护Web站点免受跨站点脚本攻击
使用工具和测试防范跨站点脚本攻击.跨站点脚本(XSS)攻击是当今主要的攻击途径之一,利用了Web站点的漏洞并使用浏览器来窃取cookie或进行金融交易。 跨站点脚本漏洞比较常见,并且要求组织部署涵盖威胁建模、扫描工具和大量安全意识在内的周密的安全开发生命周期,以便达到最佳的XSS防护和预防。 本文解释了跨站点脚本攻击是如何实现并且就如何保护企业Web应用免于这种攻击提供了建议。 跨站点脚本(XSS)允许攻击者通过利用因特网服务器的漏洞来发送恶意代码到其他用户。 攻击者利用跨站点脚本(XSS)攻击向那些看似可信任的链接中注入恶意代码。 当用户点击了链接后,内嵌的程序将被提交并且会在用户的电脑上执行,这会使黑客获取访问权限并偷走敏感数据。 攻击者使用XSS来攻击受害者机器上的漏洞并且传输恶意代码而不是攻击系统本身。 通过用户输入的数据返回错误消息的Web表格,攻击者可以修改控制Web页面的HTML代码。 黑客能够在废品信息中的链接里插入代码或者使用欺诈邮件来诱使用户对其身份产生信任。 例如攻击者可以发送带有URL的邮件给受害人,这个URL指向一个Web站点并且提供浏览器脚本作为输入;或者在博客或诸如Facebook、Twitter这样的社交网站上发布恶意URL链接。 当用户点击这个链接时,该恶意站点以及脚本将会在其浏览器上运行。 浏览器不知道脚本是恶意的并将盲目地运行这个程序,这转而允许攻击者的浏览器脚本使用站点的功能来窃取cookie或者冒充合法的用户来完成交易。 一些通常的跨站点脚本预防的最佳实践包括在部署前测试应用代码,并且以快速、简明的方式修补缺陷和漏洞。 Web应用开发人员应该过滤用户的输入来移除可能的恶意字符和浏览器脚本,并且植入用户输入过滤代码来移除恶意字符。 通常管理员也可以配置浏览器只接受来自信任站点的脚本或者关闭浏览器的脚本功能,尽管这样做可能导致使用Web站点的功能受限。 随着时代的进步黑客们变得更加先进,使用收集的工具集来加快漏洞攻击进程。 这意味着仅仅部署这些通常的XSS预防实践是不够的,保护和预防过程必须从底层开始并持续提升。 预防过程必须在开发阶段开始,建立在一个牢靠、安全的开发生命周期方法论之上的Web应用在发布版本中不太可能暴露出漏洞。 这样以来,不仅提升了安全性,也改善了可用性而且缩减了维护的总体费用,因为在现场环境中修补问题比在开发阶段会花费更多。 威胁建模在XSS预防中也是重要的一个方面,应该纳入到每个组织的安全开发生命周期当中。 威胁建模评估和辨识在开发阶段中应用程序面临的所有的风险,来帮助Web开发人员更好地理解需要什么样的保护以及攻击一旦得逞将对组织产生怎样的影响。 要辨识一个特定应用的威胁级别,考虑它的资产以及它访问的敏感信息量是十分重要的。 这个威胁建模过程将确保在应用的设计和开发过程中战略性地融合了安全因素,并且增强了Web开发人员的安全意识。 对于大型项目的Web开发人员来说,源代码扫描工具和Web应用漏洞扫描器是提高效率和减少工作量的通常选择。
解析如何防止XSS跨站脚本攻击
不可信数据 不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。 不过从安全角度来看,来自数据库、网络服务器和其他来源的数据往往也是不可信的,也就是说,这些数据可能没有完全通过验证。 应该始终对不可信数据保持警惕,将其视为包含攻击,这意味着在发送不可信数据之前,应该采取措施确定没有攻击再发送。 由于应用程序之间的关联不断深化,下游直译程序执行的攻击可以迅速蔓延。 传统上来看,输入验证是处理不可信数据的最好办法,然而,输入验证法并不是注入式攻击的最佳解决方案。 首先,输入验证通常是在获取数据时开始执行的,而此时并不知道目的地所在。 这也意味着我们并不知道在目标直译程序中哪些字符是重要的。 其次,可能更加重要的是,应用程序必须允许潜在危害的字符进入,例如,是不是仅仅因为SQL认为Mr. OMalley名字包含特殊字符他就不能在数据库中注册呢? 虽然输入验证很重要,但这始终不是解决注入攻击的完整解决方案,最好将输入攻击作为纵深防御措施,而将escaping作为首要防线。 解码(又称为Output Encoding) “Escaping”解码技术主要用于确保字符作为数据处理,而不是作为与直译程序的解析器相关的字符。 有很多不同类型的解码,有时候也被成为输出“解码”。 有些技术定义特殊的“escape”字符,而其他技术则包含涉及若干字符的更复杂的语法。 不要将输出解码与Unicode字符编码的概念弄混淆了,后者涉及映射Unicode字符到位序列。 这种级别的编码通常是自动解码,并不能缓解攻击。 但是,如果没有正确理解服务器和浏览器间的目标字符集,有可能导致与非目标字符产生通信,从而招致跨站XSS脚本攻击。 这也正是为所有通信指定Unicode字符编码(字符集)(如UTF-8等)的重要所在。 Escaping是重要的工具,能够确保不可信数据不能被用来传递注入攻击。 这样做并不会对解码数据造成影响,仍将正确呈现在浏览器中,解码只能阻止运行中发生的攻击。 注入攻击理论 注入攻击是这样一种攻击方式,它主要涉及破坏数据结构并通过使用特殊字符(直译程序正在使用的重要数据)转换为代码结构。 XSS是一种注入攻击形式,浏览器作为直译程序,攻击被隐藏在HTML文件中。 HTML一直都是代码和数据最差的mashup,因为HTML有很多可能的地方放置代码以及很多不同的有效编码。 HTML是很复杂的,因为它不仅是层次结构的,而且还包含很多不同的解析器(XML、HTML、JavaScript、VBScript、CSS、URL等)。 要想真正明白注入攻击与XSS的关系,必须认真考虑HTML DOM的层次结构中的注入攻击。 在HTML文件的某个位置(即开发者允许不可信数据列入DOM的位置)插入数据,主要有两种注入代码的方式: Injecting UP,上行注入 最常见的方式是关闭现有的context并开始一个新的代码context,例如,当你关闭HTML属性时使用>并开始新的 可以终止脚本块,即使该脚本块被注入脚本内方法调用内的引用字符,这是因为HTML解析器在JavaScript解析器之前运行。 Injecting DOWN,下行注入 另一种不太常见的执行XSS注入的方式就是,在不关闭当前context的情况下,引入一个subcontext。 例如,将改为,并不需要躲开HTML属性context,相反只需要引入允许在src属性内写脚本的context即可。 另一个例子就是CSS属性中的expression()功能,虽然你可能无法躲开引用CSS属性来进行上行注入,你可以采用x ss:expression(())且无需离开现有context。 同样也有可能直接在现有context内进行注入,例如,可以采用不可信的输入并把它直接放入JavaScript context。 这种方式比你想象的更加常用,但是根本不可能利用escaping(或者任何其他方式)保障安全。 从本质上讲,如果这样做,你的应用程序只会成为攻击者将恶意代码植入浏览器的渠道。 本文介绍的规则旨在防止上行和下行XSS注入攻击。 防止上行注入攻击,你必须避免那些允许你关闭现有context开始新context的字符;而防止攻击跳跃DOM层次级别,你必须避免所有可能关闭context的字符;下行注入攻击,你必须避免任何可以用来在现有context内引入新的sub-context的字符。 积极XSS防御模式 本文把HTML页面当作一个模板,模板上有很多插槽,开发者允许在这些插槽处放置不可信数据。 在其他地方放置不可信数据是不允许的,这是“白名单”模式,否认所有不允许的事情。 根据浏览器解析HTML的方式的不同,每种不同类型的插槽都有不同的安全规则。 当你在这些插槽处放置不可信数据时,必须采取某些措施以确保数据不会“逃离”相应插槽并闯入允许代码执行的context。 从某种意义上说,这种方法将HTML文档当作参数化的数据库查询,数据被保存在具体文职并与escaping代码context相分离。 本文列出了最常见的插槽位置和安全放置数据的规则,基于各种不同的要求、已知的XSS载体和对流行浏览器的大量手动测试,我们保证本文提出的规则都是安全的。 定义好插槽位置,开发者们在放置任何数据前,都应该仔细分析以确保安全性。 浏览器解析是非常棘手的,因为很多看起来无关紧要的字符可能起着重要作用。 为什么不能对所有不可信数据进行HTML实体编码? 可以对放入HTML文档正文的不可行数据进行HTML实体编码,如 标签内。 也可以对进入属性的不可行数据进行实体编码,尤其是当属性中使用引用符号时。 但是HTML实体编码并不总是有效,例如将不可信数据放入 directlyinascriptinsideanHTMLcomment inanattributename <=/test/> inatagname 更重要的是,不要接受来自不可信任来源的JavaScript代码然后运行,例如,名为“callback”的参数就包含JavaScript代码段,没有解码能够解决。 No.2 – 在向HTML元素内容插入不可信数据前对HTML解码 这条规则适用于当你想把不可信数据直接插入HTML正文某处时,这包括内部正常标签(div、p、b、td等)。 大多数网站框架都有HTML解码的方法且能够躲开下列字符。 但是,这对于其他HTML context是远远不够的,你需要部署其他规则。 ... ... 以及其他的HTML常用元素 使用HTML实体解码躲开下列字符以避免切换到任何执行内容,如脚本、样式或者事件处理程序。 在这种规格中推荐使用十六进制实体,除了XML中5个重要字符(&、<、 >、 、 )外,还加入了斜线符,以帮助结束HTML实体。 &-->& <-->< >-->> --> -->isnotrecommended /-->/forwardslashisincludedasithelpsendanHTMLentity ESAPI参考实施 Stringsafe=()((input)); No.3 – 在向HTML常见属性插入不可信数据前进行属性解码 这条规则是将不可信数据转化为典型属性值(如宽度、名称、值等),这不能用于复杂属性(如href、src、style或者其他事件处理程序)。 这是及其重要的规则,事件处理器属性(为HTML JavaScript Data Values)必须遵守该规则。 contentinsideUNquotedattributecontent insidesinglequotedattribute除了字母数字字符外,使用小于256的ASCII值&#xHH格式(或者命名的实体)对所有数据进行解码以防止切换属性。 这条规则应用广泛的原因是因为开发者常常让属性保持未引用,正确引用的属性只能使用相应的引用进行解码。 未引用属性可以被很多字符破坏,包括[space] % * + , - / ; < = > ^ 和 |。 ESAPI参考实施 String safe = ()( ( input ) ); No.4 – 在向HTML JavaScript Data Values插入不可信数据前,进行JavaScript解码 这条规则涉及在不同HTML元素上制定的JavaScript事件处理器。 向这些事件处理器放置不可信数据的唯一安全位置就是“data value”。 在这些小代码块放置不可信数据是相当危险的,因为很容易切换到执行环境,因此请小心使用。 insideaquotedstring onesideofanexpression insideUNquotedeventhandler insidequotedeventhandler insidequotedeventhandler 除了字母数字字符外,使用小于256的ASCII值xHH格式 对所有数据进行解码以防止将数据值切换至脚本内容或者另一属性。 不要使用任何解码捷径(如 )因为引用字符可能被先运行的HTML属性解析器相匹配。 如果事件处理器被引用,则需要相应的引用来解码。 这条规则的广泛应用是因为开发者经常让事件处理器保持未引用。 正确引用属性只能使用相应的引用来解码,未引用属性可以使用任何字符(包括[space] % * + , - / ; < = > ^ 和|)解码。 同时,由于HTML解析器比JavaScript解析器先运行,关闭标签能够关闭脚本块,即使脚本块位于引用字符串中。 ESAPI参考实施 Stringsafe=()((input)); No.5 – 在向HTML 样式属性值插入不可信数居前,进行CSS解码 当你想将不可信数据放入样式表或者样式标签时,可以用此规则。 CSS是很强大的,可以用于许多攻击。 因此,只能在属性值中使用不可信数据而不能在其他样式数据中使用。 不能将不可信数据放入复杂的属性(如url,、behavior、和custom (-moz-binding))。 同样,不能将不可信数据放入允许JavaScript的IE的expression属性值。 propertyvalue textpropertyvalue 除了字母数字字符外,使用小于256的ASCII值HH格式对所有数据进行解码。 不要使用任何解码捷径(如 )因为引用字符可能被先运行的HTML属性解析器相匹配,防止将数据值切换至脚本内容或者另一属性。 同时防止切换至expression或者其他允许脚本的属性值。 如果属性被引用,将需要相应的引用进行解码,所有的属性都应该被引用。 未引用属性可以使用任何字符(包括[space] % * + , - / ; < = > ^ 和|)解码。 同时,由于HTML解析器比JavaScript解析器先运行,标签能够关闭脚本块,即使脚本块位于引用字符串中。 ESAPI参考实施 Stringsafe=()((input)); No.6- 在向HTML URL属性插入不可信数据前,进行URL解码 当你想将不可信数据放入链接到其他位置的link中时需要运用此规则。 这包括href和src属性。 还有很多其他位置属性,不过我们建议不要在这些属性中使用不可信数据。 需要注意的是在javascript中使用不可信数据的问题,不过可以使用上述的HTML JavaScript Data Value规则。 linkanormallink animagesource ascriptsource 除了字母数字字符外,使用小于256的ASCII值%HH 解码格式对所有数据进行解码。 在数据中保护不可信数据:URL不能够被允许,因为没有好方法来通过解码来切换URL以避免攻击。 所有的属性都应该被引用。 未引用属性可以使用任何字符(包括[space] % * + , - / ; < = > ^ 和|)解码。 请注意实体编码在这方面是没用的。
相关标签: 如何防止跨站脚本攻击、 增强您的网站安全性、 如何防止跨站脚本攻击、
本文地址:http://www.hyyidc.com/article/18668.html
<a href="http://www.hyyidc.com/" target="_blank">好有缘导航网</a>
