c*******9
发帖数: 9032 | 1 朋友的动态页面的网站屡屡遭攻击,如果用haskell写是否好些? 一是多数黑客对
haskell不熟悉,二十haskell的
严格类型检查。 |
k***5
发帖数: 583 | 2 网站屡屡遭攻击和你的开发语言没那么大的联系,取决你WEB Server的security 配置
。 PHP被攻击多是因为用的多,很多security设置需要自己控制。然后你host服务器如
果没设置好,更容易被hack。 |
c*******9
发帖数: 9032 | 3 怎样设置都防不胜防呀。感觉动态语言不区分可运行代码和数据很容易造成安全漏洞。
【在 k***5 的大作中提到】
: 网站屡屡遭攻击和你的开发语言没那么大的联系,取决你WEB Server的security 配置
: 。 PHP被攻击多是因为用的多,很多security设置需要自己控制。然后你host服务器如
: 果没设置好,更容易被hack。
|
g*****g
发帖数: 34805 | 4 跟语言没关系,黑客只用http request攻击,用啥写都一样。
【在 c*******9 的大作中提到】
: 朋友的动态页面的网站屡屡遭攻击,如果用haskell写是否好些? 一是多数黑客对
: haskell不熟悉,二十haskell的
: 严格类型检查。
|
c*******9
发帖数: 9032 | 5 黑客会在http request 里面会嵌入执行语言吧。
【在 g*****g 的大作中提到】
: 跟语言没关系,黑客只用http request攻击,用啥写都一样。
|
c*******9
发帖数: 9032 | 6 当然,理论上只要对http request检查完备就可以了,但php这类语言做到这点似乎不
太容易。
【在 c*******9 的大作中提到】
: 黑客会在http request 里面会嵌入执行语言吧。
|
g*****g
发帖数: 34805 | 7 不会,只会嵌js。至于sql injection这种很容易防。
【在 c*******9 的大作中提到】
: 黑客会在http request 里面会嵌入执行语言吧。
|
l**********n
发帖数: 8443 | 8 黑客直接攻击你的TCP包。
【在 c*******9 的大作中提到】
: 当然,理论上只要对http request检查完备就可以了,但php这类语言做到这点似乎不
: 太容易。
|
k***5
发帖数: 583 | 9 HTTP request里嵌入JS?server side如何执行?有什么例子可以学习看看?
【在 g*****g 的大作中提到】
: 不会,只会嵌js。至于sql injection这种很容易防。
|
k***5
发帖数: 583 | 10 你是说PHP吗? 动态语言是个非常大的范畴,不是所有都不区分可运行代码和数据。
【在 c*******9 的大作中提到】
: 怎样设置都防不胜防呀。感觉动态语言不区分可运行代码和数据很容易造成安全漏洞。
|
|
|
l**********n
发帖数: 8443 | 11 黑客黑进server,然后窍取credentials?
【在 k***5 的大作中提到】
: 你是说PHP吗? 动态语言是个非常大的范畴,不是所有都不区分可运行代码和数据。
|
c*******9
发帖数: 9032 | 12 对php不熟。好像对php攻击的方法不少。
【在 k***5 的大作中提到】
: 你是说PHP吗? 动态语言是个非常大的范畴,不是所有都不区分可运行代码和数据。
|
c*******9
发帖数: 9032 | 13 这个难度大吧?
一般有防火墙。
【在 l**********n 的大作中提到】
: 黑客直接攻击你的TCP包。
|
p**r
发帖数: 5853 | 14 我用JS黑过几个站点,
理论上来说,能签入JS就是能控制一切,
只是还是要做一些后续的工作。 |
c*******9
发帖数: 9032 | 15 不一定直接server side执行,欺骗用户操作就可以。
【在 k***5 的大作中提到】
: HTTP request里嵌入JS?server side如何执行?有什么例子可以学习看看?
|
p**r
发帖数: 5853 | 16 你看看你朋友网站什么类型的攻击,然后再决定如何。 |
c*******9
发帖数: 9032 | 17 所以考虑用haskell这种严谨的语言容易对request进行严格检查。看了下yesod框架和
xss-sanitze包似乎防XSS攻击比较有效。
【在 p**r 的大作中提到】
: 我用JS黑过几个站点,
: 理论上来说,能签入JS就是能控制一切,
: 只是还是要做一些后续的工作。
|
c*******9
发帖数: 9032 | 18 博彩网站最容易遭什么类型的攻击?
【在 p**r 的大作中提到】
: 你看看你朋友网站什么类型的攻击,然后再决定如何。
|
k***5
发帖数: 583 | 19 这是client 端 hijack ,和service 端没关系啊。你是用伪造的web或hijack的web来
欺骗用户。楼主是说server被攻击,和这个没关系。
【在 c*******9 的大作中提到】
: 不一定直接server side执行,欺骗用户操作就可以。
|
k***5
发帖数: 583 | 20 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
JS 直接在server side执行的。
hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
论上都是这样干的。
【在 p**r 的大作中提到】
: 我用JS黑过几个站点,
: 理论上来说,能签入JS就是能控制一切,
: 只是还是要做一些后续的工作。
|
|
|
c*******9
发帖数: 9032 | 21 这有篇java web 攻击的贴,看看有没有道理:
http://www.myhack58.com/Article/html/3/8/2014/52224.htm
upload
【在 k***5 的大作中提到】
: 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
: JS 直接在server side执行的。
: hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
: 论上都是这样干的。
|
k***5
发帖数: 583 | 22 原文看来是从什么英文文章翻译过来,加了点自我吹嘘。 还是直接看原始的来源:
http://danamodio.com/appsec/research/spring-remote-code-with-ex
文章里揭露了一个Spring 3.0.6 里Spring Expression Language Support的漏洞,导
致恶意代码在Spring server里执行。
该漏洞修复在以下:
http://support.springsource.com/security/cve-2011-2730
而且是系统设置的问题:
Aside from EL-specific measures, we generally recommend against passing non-
validated request parameters into JSP tag attributes which prevents not only
the potential for double evaluation but also other forms of exploitation
based on manipulated request parameters.
【在 c*******9 的大作中提到】
: 这有篇java web 攻击的贴,看看有没有道理:
: http://www.myhack58.com/Article/html/3/8/2014/52224.htm
:
: upload
|
p**r
发帖数: 5853 | 23 JS嵌入只是第一步,
接下来要做的是监视记录所有的站点信息,
再从里面分析获取有价值的。
upload
【在 k***5 的大作中提到】
: 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
: JS 直接在server side执行的。
: hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
: 论上都是这样干的。
|
g*****g
发帖数: 34805 | 24 不需要 server端执行。只要你输入的内容其他用户可以看得见,就可以在字符串里插
入js脚本,在其他人的浏览器里执行,偷取token, 所谓的XSS. 所以必须有filtering.
任何语言不会更安全。
upload
【在 k***5 的大作中提到】
: 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
: JS 直接在server side执行的。
: hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
: 论上都是这样干的。
|
