分享免费的编程资源和教程

网站首页 > 技术教程 正文

SSL、TLS拒绝服务攻击 stride 拒绝服务

goqiw 2024-10-13 05:04:29 技术教程 34 ℃ 0 评论

thc-ssl-dos

  • SSL协商加密对性能开销增加,大量握手请求会导致拒绝服务
  • 利用SSL secure Renegotiation特性,在单一TCP连接中生成数千个SSL重连接请求,造成服务器资源过载
  • 与流量式拒绝服务攻击不同,thc-ssl-dos可以利用dls线路打垮30G带宽的服务器
  • 服务器平均可以处理300次/秒SSL握手请求
  • 对SMTPS、POP3S等服务同样有效
  • thc-ssl-dos 【IP】 2083 --accept


对策

  • 禁用SSL-Renegotiation,使用SSL Accelerator
  • 通过修改thc-ssl-dos代码,可以绕过以上对策


概念补充

AJAX

  • Asynchronous Javascript and XML
  • 是一个概念,而非一种新的编程语言,是一组现有技术的组合
  • 通过客户端脚本动态更新页面部分内容,而非整个页面
  • 降低带宽使用,提供速度
  • 提升用户体验
  • 后台异步访问


AJAX组件

  • Javascript:ajax的核心组件,使用XMLHTTPRequest 对象接口向服务器发起请求,接收并处理服务器响应数据;

Dynamic HTML(DHTML)

  • 早于AJAX出现,通过JavaScript、CSS等在客户端修改HTML页面element,缺点是完成依赖客户端代码修改页面,与服务器的交互由JavaScript applets完成,AJAX的XHR弥补了他的缺点(注册用户)


Document Object Model (DOM)

  • 处理HTML、XML文档对象的框架,DTHML是一个浏览器,DOM作为其一个实现的接口,定义和管理每个页面元素obj的Properties、method、event



基于AJAX的WEB应用工作流程

  • XMLHTTPRequest API创建对象xmlhttp进行访问
  • Xml、json、html、文本、图片
  • 多个异步请求独立通信,互不依赖
  • AJAX框架
    • JQuery
    • Dojo Toolkit
    • Google Web Toolkit (GWT)
    • Microsoft AJAX library



  • 目前没有通用的AJAX安全最佳实践,其攻击面不为大多数人所知
  • AJAX的安全问题
    • 多种技术混合,增加了攻击面,每个参数都可能形成独立的攻击过程
    • AJAX引擎是个权功能的脚本解释器,访问恶意站点可能后果严重,虽然浏览器由沙箱和SOP,但可被绕过;
    • 服务器、客户端代码结合使用产生混乱,服务器访问控制不当,将信息泄露
    • 暴露应用程序逻辑



AJAX对渗透测试的挑战

  • 异步请求数量多且隐蔽
  • 初发AJAX请求的条件无规律
  • 手动和截断代理爬网可能产生大量遗漏


  • AJAX爬网工具使用ZAP
  • 客户端代码审计
    • 源码
    • Firebug



Web Service

  • 面向服务的架构(service oriented architecture)便于不同系统集成共享数据和功能
  • 尤其适合不想暴露数据模型和程序逻辑而访问数据的场景
  • 无页面

两种类型的WEB Service

  • Simple object access protocol (SOAP)
    • 传统的Web service 开发方法,xml是唯一的数据交换格式
    • 要求安全性的应用更多采用
  • RESTful(Representational State Transfer architecture——REST)
    • 目前更多被采用的轻量web service ,JSON是首选数据交换格式


WEB Service安全考虑

  • 使用API key或session token实现和跟踪身份认证
  • 身份认证由服务器完成,而非客户端
  • API key,用户名,session token永远不要通过URL发送
  • RESTful默认不提供任何安全机制,需要使用SSL/TLS保护传输数据安全
  • SOAP提供强于HTTPS的WS-security机制
  • 使用OAuth或HMAC继续身份验证,HMAC身份认证使用C/S共享的密钥加密API KEY
  • RESTful应只允许身份认证用户使用PUT、DELETE方法
  • 使用随机token防止CSRF攻击
  • 对用户提交参数过滤,建议部署基于严格白名单的方法
  • 报错信息消毒
  • 直接对象引用应严格身份验证(电商公司以ID作为主索引)

Tags:

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表