【51CTO.com 独家特稿】随着网站安全,IM即时通讯安全,邮件安全三个专题的相继推出,终于在2008年年底,安全频道大型Web安全活动月的系列活动也圆满结束了。为了深入了解国内用户应对Web安全威胁的现状,帮助他们找出隐患、提高防范能力,国内领先的中文IT技术网站51CTO.com于2008年12月特别推出了“Web安全威胁在线调查”活动,邀请广大用户参与线上调查,为当前Web安全及威胁现状提供更为有力的数据依据;同时,51CTO.com安全频道为广大用户量身定做了系列Web安全相关技…
SaaS正在改变整个IT产业的格局。如果把IT行业看成是一个大舞台,原来的IT公司就是演员,而SaaS服务供应商们就是引座员(有时它们也是演员),用户则是观众。在舞台上,各个厂商极力展示自己的优势,如功能、成本、效率,想方设法来吸引用户的注意。这意味着,客户在选择适合自己的IT厂商时,可以挑肥拣瘦。不过,如果用户真的需要选一个SaaS解决方案,首先一定要明确需要重点关注SaaS厂商的哪些方面,千万不要被SaaS服务供应商的宣传所蒙蔽。 最需要明确的是,尽管迁移到SaaS也许是中小企业为了寻求效率而做出的举动,但只…
无论是在计算机杂志还是在Internet上,目前最热门的话题莫过于“Web Services”。各个平台之间的锋争,各个新产品的发布,众多新标准的制订,大都和Web Services有关。Web Services的起源Web应用的巨大成功和不断发展,使其渗透到商业领域和个人生活的各个方面。人们只要使用浏览器,就可以享受到各种各样的Web服务,例如网上购物,网上交易,网络游戏,预定车票,网上聊天和交友等等。与此同时,由于Web技术所带来的优势(统一的客户端和较好的维护性),使一些传统的应用纷纷…
集中式应用框架是解决第一个问题的良方,其通过统一的框架将所有相关业务应用程序所涉及的元素形成统一战线;在此框架中前端的客户端向后端的表现层服务器以事先约定好的约定(Contract)提交相关上下文信息,然后由表现层服务器以服务形式通过各种适配器以及连接器向与之相连接的后台资源服务器、数据库服务器、业务应用服务器等请求服务并将结果以同样的约定(Contract)返回,从而使得攻击者即使利用网络层的种种漏洞突破安全防线也难于侵入部署于后端的重要服务器资源。最为关键的是,如何在提交上下文信息并得到最终结果的业…
今天受一同事问题启发,测试了下,记录如下环境 IIS,同一服务器2个不同端口的站点。客户端浏览器 IE FF总结如下:服务器产生的ASPsessionid cookie,在同一浏览器的不同标签下,A端口的cookie一样可以送给B端口站点。只要浏览器不关,request header里始终有该ASPsessionid 的cookie但是两个标签所产生的实际会话ID号并不一样,即A端口的session变量,b端口下不能共享。...
受下面的内容影响,F5 V9.4.7后的GTM打开递归不能只是简单的设置recursion: yes还需要明确设置相关的ACL,否则只是容许local ISC Support Bulletin - July 2007 Document last updated: 2007-07-30 There has been some confusion surrounding the changes to the "allow-recursion" and "allow-query-c…
CSS cross site scripting 跨站脚本 也叫XSS。OWASP将其列为WEB安全的头号风险,主要由于该类攻击及其常见和容易被利用。所谓跨站攻击其实也就是代码(js,vs,html等)注入,利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行,从而损害访问者。利用CSS可以实现cookie窃取,钓鱼,会话劫持,插入木马,权限提升等工作。常见的跨站类型有reflected, stored, and DOM injection。防范方法:...
9.3.1HF2上 UDP的traceroute包经过F5时候,ttl=1时候 F5用原来的目的地址做源地址回应ttl 超时9.3.1HF4上 则不是这个情况 ,用正确的接口地址回应9.3.1HF1上测试 ip forwarding下对该行为的处理也都正常(不管有无执行snat),具体见:
利用在请求中构建特殊的回车符,进而导致服务器中断正确的response的响应,并在服务器端形成一个伪造的http response,如果此时其他用户发起了http请求,将导致用户看到的是伪造的页面内容,进而攻击用户。如果这个用户是一个代理服务器则危害更大。如果构建在某个其他普通的站点页面上,则大量不同用户的点击可能导致被攻击网站的出现严重的危害。这个攻击可利用在XSS跨站,web cache投毒,浏览器投毒上。攻击原理:利用网站在读取用户提交的数据后,将用户提交的数据插入http的location的 header中…
防止网页被篡改是被动的,能阻断入侵行为才是主动型的,前边提到的IPS/UTM等产品是安全通用的网关,也有专门针对Web的硬件安全网关,国内的如:绿盟的Web防火墙,启明的WIPS(web IPS),国外的有imperva的WAF(Web Application Firewall)等。 Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙。这里之所以叫做Web防火墙,是因…
首先介绍一下现有的web应用防火墙的开源项目。1、web防火墙的开源项目首推Apache的插件,mod security。 mod security是针对Apache的安全组件。用于防护一些典型的web攻击。 关于mod security的部署和编译的步骤将在后续进行详细的介绍。这里就不进行一一介绍了。 2、IIS的插件 Web Knight。...
A1 - Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim's browser which can hijack us…
产品概述Cisco ACE Web 应用防火墙 (图 1)是思科应用控制引擎(ACE)产品系列中的最新成员。 许多机构当前都在设法通过实施全新的基于Web的应用、Web 2.0和SOA解决方案,来提高效率和利润。这些全新的基于Web的服务为客户、员工和合作伙伴提供了更大的灵活性和交互性。同时,罪犯也在千方百计地找经常存在问题的全新服务中的漏洞,从而进行金融欺诈、身份和数据盗窃、拒绝服务攻击,以及传播恶意和远程控制代理软件。...
http://www.myf5.net/request/
最近评论
汤姆 发布于 8 个月前(09月10日)
汤姆 发布于 8 个月前(09月09日)
zhangsha 发布于 1 年前(05月12日)
李成才 发布于 1 年前(01月02日)
纳米 发布于 1 年前(01月02日)
