国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網首頁
  2. >Toy博客

慢速 HTTP 攻擊 Slow HTTP Attack漏洞原理以及修復方法

2年前作者:it技術分享just_free分類:Toy博客閱讀(17)違法舉報

這篇具有很好參考價值的文章主要介紹了慢速 HTTP 攻擊 Slow HTTP Attack漏洞原理以及修復方法。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

漏洞名稱 :Slow Http attack、慢速攻擊

漏洞描述:慢速攻擊基于HTTP協議,通過精心的設計和構造,這種特殊的請求包會造成服務器延時,而當服務器負載能力消耗過大即會導致拒絕服務。HTTP協議規(guī)定,HTTP Request以\r\n\r\n(0d0a0d0a)結尾表示客戶端發(fā)送結束,服務端開始處理。那么,如果永遠不發(fā)送\r\n\r\n就會產生慢速攻擊的漏洞,常見的Slowloris就是利用這一點來做DDoS攻擊的。攻擊者在HTTP請求頭中將Connection設置為Keep-Alive,要求Web Server保持TCP連接不要斷開,隨后緩慢地每隔幾分鐘發(fā)送一個key-value格式的數據到服務端,如a:b\r\n,導致服務端認為HTTP頭部沒有接收完成而一直等待。如果攻擊者使用多線程或者傀儡機來做同樣的操作,服務器的Web容器很快就被攻擊者占滿了TCP連接而不再接受新的請求\r\n\r\n, 每隔幾分鐘寫入一些無意義的數據流, 拖死機器。

檢測條件

1、 Web業(yè)務運行正常
2、 HTTP請求頭中Connection可設置

檢測方法

1、 通過web掃描工具,可發(fā)現該類漏洞,但不一定準確。
2、 或者通過kali環(huán)境下的slowhttptest工具來進行檢測,它是一款對服務器進行慢攻擊的測試軟
件,包含了幾種攻擊方式,像Slowloris、SlowHTTP POST、Slow Read attack等。在執(zhí)行相關
的命令或者參數后,發(fā)現網站訪問緩慢,則存在該漏洞。

修復方案

1、配置Nginx反向代理解決該問題,參考以下鏈接:
Apache:
https://www.digitalocean.com/community/tutorials/how-to-configure-nginx-as-a-reverse-proxy-for-apache
Tomcat:
http://www.mkyong.com/nginx/nginx-apache-tomcat-configuration-example/
Java servers like Jetty, GlassFish and Tomcat
https://www.nginx.com/resources/wiki/start/topics/examples/javaservers/
其他方法:
Apahce配置參考:
http://blog.secaserver.com/2011/08/protect-apache-slowloris-attack/
暫未驗證該配置方法有效性,建議配置Nginx反向代理解決該問題文章來源地址http://www.zghlxwxcb.cn/news/detail-804306.html

到了這里,關于慢速 HTTP 攻擊 Slow HTTP Attack漏洞原理以及修復方法的文章就介紹完了。如果您還想了解更多內容,請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章,希望大家以后多多支持TOY模板網!

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如若轉載,請注明出處: 如若內容造成侵權/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經查實,立即刪除!

領支付寶紅包贊助服務器費用

相關文章

  • nginx漏洞修復之檢測到目標URL存在http host頭攻擊漏洞

    nginx漏洞修復之檢測到目標URL存在http host頭攻擊漏洞

    為了方便的獲得網站域名,開發(fā)人員一般依賴于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是這個header是不可信賴的,如果應用程序沒有對host header值進行處理,就有可能造成惡意代碼的傳入。 綠盟建議: web應用程序應該使用SERVER_NAME而不是host header。 在Apache和Ng

    2024年02月16日
    瀏覽(38)
  • 目標URL存在http_host頭攻擊漏洞復現及修復

    目標URL存在http_host頭攻擊漏洞復現及修復

    漏洞描述 為了方便的獲得網站域名,開發(fā)人員一般依賴于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是這個header是不可信賴的,如果應用程序沒有對host header值進行處理,就有可能造成惡意代碼的傳入。 危險等級 中危 修復建議 web 應用程序應該使用 SERVER_NAME 而不是

    2024年02月06日
    瀏覽(24)

  • SQL 注入漏洞原理以及修復方法

    漏洞名稱 :SQL注入 、SQL盲注 漏洞描述 :所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執(zhí)行惡意的SQL命令。具體來說,它是利用現有應用程序,將(惡意)的SQL命令注入到后臺數據庫引擎執(zhí)行的能力,它可以通過

    2024年01月24日
    瀏覽(28)

  • XML 注入漏洞原理以及修復方法

    漏洞名稱 :XML注入 漏洞描述:可擴展標記語言 (Extensible Markup Language, XML) ,用于標記電子文件使其具 有結構性的標記語言,可以用來標記數據、定義數據類型,是一種允許用戶對自己的標記語言進行定義的源語言。 XML是標準通用標記語言 (SGML) 的子集,非常適合Web 傳輸。

    2024年01月25日
    瀏覽(19)

  • 跨站請求偽造 CSRF 漏洞原理以及修復方法

    漏洞名稱 :跨站請求偽造(CSRF) 漏洞描述 : 跨站請求偽造攻擊,Cross-Site Request Forgery(CSRF),攻擊者在用戶瀏覽網頁時,利用頁面元素(例如img的src),強迫受害者的瀏覽器向Web應用服務器發(fā)送一個改變用戶信息的HTTP請求。CSRF攻擊可以從站外和站內發(fā)起。從站內發(fā)起CS

    2024年02月20日
    瀏覽(87)
  • 脆弱的SSL加密算法漏洞原理以及修復方法_檢測到目標服務支持ssl弱加密算法漏洞修復

    脆弱的SSL加密算法漏洞原理以及修復方法_檢測到目標服務支持ssl弱加密算法漏洞修復

    可以這樣建立一個僅使用SSLv2協議及其密碼算法的服務器: httpd.conf SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP 3、 如何建立一個僅接受強加密請求的SSL服務器: 如下設置為僅使用最強的七種密碼算法: httpd.conf SSLProtocol all SSLCipherSuite HIGH:MEDIUM 4、 如何建立一個僅接受

    2024年04月13日
    瀏覽(43)

  • OWASP TOP 10漏洞的原理 和攻擊方式以及防御方法

    OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)組織發(fā)布的當前最嚴重、最普遍的10種Web應用程序安全漏洞。以下是每種漏洞的原理、攻擊方式和防御方法。 注入漏洞(Injection) 原理:攻擊者向應用程序中輸入惡意代碼,使其執(zhí)行未經授權的操作。 攻擊方式:SQL注

    2024年02月07日
    瀏覽(29)
  • Pytorch對機器學習模型的安全漏洞攻擊方法之Fast Gradient Sign Attack(FGSM,快速梯度符號攻擊)

    Pytorch對機器學習模型的安全漏洞攻擊方法之Fast Gradient Sign Attack(FGSM,快速梯度符號攻擊)

    原論文:EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES 一般本人的習慣是先看論文熟悉它,然后代碼去實現它,這樣感覺要好點。因為論文講解的比較全面和一些實驗對比還有很多的引用等,另外大家知道好論文基本都是英文,所以對于英文弱點的伙伴們可能需要多花點時間去研讀了

    2023年04月23日
    瀏覽(20)

  • MySQL 8.0 OCP (1Z0-908) 考點精析-性能優(yōu)化考點4:慢速查詢日志(slow query log)

    慢速查詢日志(slow query log) 慢速查詢日志(slow query log)主要用于查找超過指定時間、執(zhí)行時間很長的SQL。 默認情況下這個功能是無效的,所以要啟用慢速查詢日志需要設置slow_query_log 為1(ON)。 慢速查詢日志(slow query log)相關參數 下面我們看看慢速查詢日志(slow query l

    2023年04月22日
    瀏覽(82)
  • 網站被攻擊如何修復網站漏洞

    網站被攻擊如何修復網站漏洞

    如果網站遭到黑客攻擊,不要擔心,您可以遵循以下提示: 1.確認網站已被篡改攻擊,尤其被上傳了網站木馬文件,一般被稱為是Webshell。攻擊者也有可能通過Webshell獲得服務器的管理員權限,甚至滲透到內部網。因此,您可以通過日志等標志來判斷和確認攻擊的范圍。 2、備份

    2024年02月14日
    瀏覽(18)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領取紅包,優(yōu)惠每天領

二維碼1

領取紅包

二維碼2

領紅包