久久久久在线观看_又色又爽又黄的免费视频播放_一区中文字幕_日韩电影在线播放

今日頭條 焦點資訊 營銷之道 企業報道 淘寶運營 網站建設 軟件開發 400電話
  當前位置: 首頁 » 資訊 » 網站建設 » 正文

淺談 JavaScript DDoS 攻擊原理與防御

放大字體  縮小字體 發布日期:2018-02-18  來源:新格網  作者:新格網  瀏覽次數:179  【去百度看看】
核心提示:分布式拒絕服務攻擊(DDoS)攻擊是一種針對網站發起的最古老最普遍的攻擊。Nick Sullivan是網站加速和安全服務提供商CloudFlare的一名系統工程師。近日,他撰文介紹了攻擊者如何利用惡意網站、服務器劫持和中間人攻擊 發起DDoS攻擊,并說明了如何使用HTTPS以及即將到來的名為“子資源一致性(Subresource Integrity,簡稱SRI)”的Web新技術保護網站免受攻擊。

分布式拒絕服務攻擊(DDoS)攻擊是一種針對網站發起的最古老最普遍的攻擊。Nick Sullivan是網站加速和安全服務提供商CloudFlare的一名系統工程師。近日,他撰文介紹了攻擊者如何利用惡意網站、服務器劫持和中間人攻擊 發起DDoS攻擊,并說明了如何使用HTTPS以及即將到來的名為“子資源一致性(Subresource Integrity,簡稱SRI)http://www.argcandargv.com/skin/default/image/nopic.gif的Web新技術保護網站免受攻擊。

現代網站的大部分交互都來自于Javascript。網站通過直接向HTML中添加Javascript代碼或者通過HTML元 素<script src="http://www.argcandargv.com/skin/default/image/lazy.gif" class="lazy" original="http://www.argcandargv.com/skin/default/image/nopic.gif"">從遠程位置加載Javascript實現交互功能。Javascript可以發出HTTP(S)請求,實現網頁內容異步加載,但它也 能將瀏覽器變成攻擊者的武器。例如,下面的代碼可以向受攻擊網站發出洪水般的請求:

function imgflood() {  
  var TARGET = 'victim-website.com'
  var URI = '/index.php?'
  var pic = new Image()
  var rand = Math.floor(Math.random() * 1000)
  pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflood, 10)

上述腳本每秒鐘會在頁面上創建10個image標簽。該標簽指向“victim-website.comhttp://www.argcandargv.com/skin/default/image/nopic.gif,并帶有一個隨機查詢參數。如果用戶訪問 了包含這段代碼的惡意網站,那么他就會在不知情的情況下參與了對“victim-website.comhttp://www.argcandargv.com/skin/default/image/nopic.gif的DDoS攻擊,如下圖所示:

DDos攻擊 Javas<em></em>cript Web開發

許多網站都使用一套通用的Javascript庫。為了節省帶寬及提高性能,它們會使用由第三方托管的Javascript庫。jQuery是 Web上最流行的Javascript庫,截至2014年大約30%的網站都使用了它。其它流行的庫還有Facebook SDK、Google Analytics。如果一個網站包含了指向第三方托管Javascript文件的script標簽,那么該網站的所有訪問者都會下載該文件并執行它。如 果攻擊者攻陷了這樣一個托管Javascript文件的服務器,并向文件中添加了DDoS代碼,那么所有訪問者都會成為DDoS攻擊的一部分,這就是服務 器劫持,如下圖所示:

DDos攻擊 Javas<em></em>cript Web開發

這種攻擊之所以有效是因為HTTP中缺少一種機制使網站能夠禁止被篡改的腳本運行。為了解決這一問題,W3C已經提議增加一個新特性子資源一致性。該特性允許網站告訴瀏覽器,只有在其下載的腳本與網站希望運行的腳本一致時才能運行腳本。這是通過密碼散列實現的,代碼如下:

<script src="https://code.jquery.com/jquery-1.10.2.min.js" 
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
crossorigin="anonymous">

密碼散列可以唯一標識一個數據塊,任何兩個文件的密碼散列均不相同。屬性integrity提供了網站希望運行的腳本文件的密碼散列。瀏覽器在下載 腳本后會計算它的散列,然后將得出的值與integrity提供的值進行比較。如果不匹配,則說明目標腳本被篡改,瀏覽器將不使用它。不過,許多瀏覽器目 前還不支持該特性,Chrome和Firefox正在增加對這一特性的支持。

中間人攻擊是攻擊者向網站插入惡意Javascript代碼的最新方式。在通過瀏覽器訪問網站時,中間會經過許多節點。如果任意中間節點向網頁添加惡意代碼,就形成了中間人攻擊,如下圖所示:

DDos攻擊 Javas<em></em>cript Web開發

加密技術可以徹底阻斷這種代碼注入。借助HTTPS,瀏覽器和Web服務器之間的所有通信都要經過加密和驗證,可以防止第三者在傳輸過程中修改網頁。因此,將網站設為HTTPS-only,并保管好證書以及做好證書驗證,可以有效防止中間人攻擊。

在回復網友評論時,Nick指出,SRI和HTTPS是相輔相成的,二者同時使用可以為網站提供更好的保護。除了上述方法外,采用一些防DDoS安全產品來加強防護也是一種選擇。

 
 
[ 資訊搜索 ]  [ 加入收藏 ]  [ 告訴好友 ]  [ 打印本文 ]  [ 違規舉報 ]  [ 關閉窗口 ]

 
0條 [查看全部]  相關評論

 
網站首頁 | 關于我們 | 聯系方式 | 使用協議 | 版權隱私 | 網站地圖 | 排名推廣 | 廣告服務 | 積分換禮 | 網站留言 | RSS訂閱 | 吉ICP備11001726號-6
企業800網 · 提供技術支持