由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Programming版 - 用haskell写网站是否不容易被攻击
相关主题
面试碰到J2EE系统安全性的问题应该怎么回答?TeacherWei刚才收集点你的小数据
haskell 好像还不支持arm 64吧。请推荐perl web framework
关于web server对于web service的支持搞haskell的请总结industry best practice和未来发展方向
大家有没有觉得Scala不如Haskell美?程序员薪水
借东风问一下:用JS可以cross domain接受SSL certificate吗?数学和编程
cross origin resource sharingAny one knows 'Q Programming Language'?
tangerine网站用的html,把参数加在url,这样能避免xss吗?想学函数语言和高层次抽象的同学看过来
node.js session的问题有人用Haskell吗
相关话题的讨论汇总
话题: haskell话题: 攻击话题: js话题: server话题: spring
进入Programming版参与讨论
1 (共1页)
c*******9
发帖数: 9032
1
朋友的动态页面的网站屡屡遭攻击,如果用haskell写是否好些? 一是多数黑客对
haskell不熟悉,二十haskell的
严格类型检查。
k***5
发帖数: 583
2
网站屡屡遭攻击和你的开发语言没那么大的联系,取决你WEB Server的security 配置
。 PHP被攻击多是因为用的多,很多security设置需要自己控制。然后你host服务器如
果没设置好,更容易被hack。
c*******9
发帖数: 9032
3
怎样设置都防不胜防呀。感觉动态语言不区分可运行代码和数据很容易造成安全漏洞。

【在 k***5 的大作中提到】
: 网站屡屡遭攻击和你的开发语言没那么大的联系,取决你WEB Server的security 配置
: 。 PHP被攻击多是因为用的多,很多security设置需要自己控制。然后你host服务器如
: 果没设置好,更容易被hack。

g*****g
发帖数: 34805
4
跟语言没关系,黑客只用http request攻击,用啥写都一样。

【在 c*******9 的大作中提到】
: 朋友的动态页面的网站屡屡遭攻击,如果用haskell写是否好些? 一是多数黑客对
: haskell不熟悉,二十haskell的
: 严格类型检查。

c*******9
发帖数: 9032
5
黑客会在http request 里面会嵌入执行语言吧。

【在 g*****g 的大作中提到】
: 跟语言没关系,黑客只用http request攻击,用啥写都一样。
c*******9
发帖数: 9032
6
当然,理论上只要对http request检查完备就可以了,但php这类语言做到这点似乎不
太容易。

【在 c*******9 的大作中提到】
: 黑客会在http request 里面会嵌入执行语言吧。
g*****g
发帖数: 34805
7
不会,只会嵌js。至于sql injection这种很容易防。

【在 c*******9 的大作中提到】
: 黑客会在http request 里面会嵌入执行语言吧。
l**********n
发帖数: 8443
8
黑客直接攻击你的TCP包。

【在 c*******9 的大作中提到】
: 当然,理论上只要对http request检查完备就可以了,但php这类语言做到这点似乎不
: 太容易。

k***5
发帖数: 583
9
HTTP request里嵌入JS?server side如何执行?有什么例子可以学习看看?

【在 g*****g 的大作中提到】
: 不会,只会嵌js。至于sql injection这种很容易防。
k***5
发帖数: 583
10
你是说PHP吗? 动态语言是个非常大的范畴,不是所有都不区分可运行代码和数据。

【在 c*******9 的大作中提到】
: 怎样设置都防不胜防呀。感觉动态语言不区分可运行代码和数据很容易造成安全漏洞。
相关主题
cross origin resource sharingTeacherWei刚才收集点你的小数据
tangerine网站用的html,把参数加在url,这样能避免xss吗?请推荐perl web framework
node.js session的问题搞haskell的请总结industry best practice和未来发展方向
进入Programming版参与讨论
l**********n
发帖数: 8443
11
黑客黑进server,然后窍取credentials?

【在 k***5 的大作中提到】
: 你是说PHP吗? 动态语言是个非常大的范畴,不是所有都不区分可运行代码和数据。
c*******9
发帖数: 9032
12
对php不熟。好像对php攻击的方法不少。

【在 k***5 的大作中提到】
: 你是说PHP吗? 动态语言是个非常大的范畴,不是所有都不区分可运行代码和数据。
c*******9
发帖数: 9032
13
这个难度大吧?
一般有防火墙。

【在 l**********n 的大作中提到】
: 黑客直接攻击你的TCP包。
p**r
发帖数: 5853
14
我用JS黑过几个站点,
理论上来说,能签入JS就是能控制一切,
只是还是要做一些后续的工作。
c*******9
发帖数: 9032
15
不一定直接server side执行,欺骗用户操作就可以。

【在 k***5 的大作中提到】
: HTTP request里嵌入JS?server side如何执行?有什么例子可以学习看看?
p**r
发帖数: 5853
16
你看看你朋友网站什么类型的攻击,然后再决定如何。
c*******9
发帖数: 9032
17
所以考虑用haskell这种严谨的语言容易对request进行严格检查。看了下yesod框架和
xss-sanitze包似乎防XSS攻击比较有效。

【在 p**r 的大作中提到】
: 我用JS黑过几个站点,
: 理论上来说,能签入JS就是能控制一切,
: 只是还是要做一些后续的工作。

c*******9
发帖数: 9032
18
博彩网站最容易遭什么类型的攻击?

【在 p**r 的大作中提到】
: 你看看你朋友网站什么类型的攻击,然后再决定如何。
k***5
发帖数: 583
19
这是client 端 hijack ,和service 端没关系啊。你是用伪造的web或hijack的web来
欺骗用户。楼主是说server被攻击,和这个没关系。

【在 c*******9 的大作中提到】
: 不一定直接server side执行,欺骗用户操作就可以。
k***5
发帖数: 583
20
难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
JS 直接在server side执行的。
hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
论上都是这样干的。

【在 p**r 的大作中提到】
: 我用JS黑过几个站点,
: 理论上来说,能签入JS就是能控制一切,
: 只是还是要做一些后续的工作。

相关主题
程序员薪水想学函数语言和高层次抽象的同学看过来
数学和编程有人用Haskell吗
Any one knows 'Q Programming Language'?haskell怎么读取二进制数组?
进入Programming版参与讨论
c*******9
发帖数: 9032
21
这有篇java web 攻击的贴,看看有没有道理:
http://www.myhack58.com/Article/html/3/8/2014/52224.htm

upload

【在 k***5 的大作中提到】
: 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
: JS 直接在server side执行的。
: hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
: 论上都是这样干的。

k***5
发帖数: 583
22
原文看来是从什么英文文章翻译过来,加了点自我吹嘘。 还是直接看原始的来源:
http://danamodio.com/appsec/research/spring-remote-code-with-ex
文章里揭露了一个Spring 3.0.6 里Spring Expression Language Support的漏洞,导
致恶意代码在Spring server里执行。
该漏洞修复在以下:
http://support.springsource.com/security/cve-2011-2730
而且是系统设置的问题:
Aside from EL-specific measures, we generally recommend against passing non-
validated request parameters into JSP tag attributes which prevents not only
the potential for double evaluation but also other forms of exploitation
based on manipulated request parameters.

【在 c*******9 的大作中提到】
: 这有篇java web 攻击的贴,看看有没有道理:
: http://www.myhack58.com/Article/html/3/8/2014/52224.htm
:
: upload

p**r
发帖数: 5853
23
JS嵌入只是第一步,
接下来要做的是监视记录所有的站点信息,
再从里面分析获取有价值的。

upload

【在 k***5 的大作中提到】
: 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
: JS 直接在server side执行的。
: hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
: 论上都是这样干的。

g*****g
发帖数: 34805
24
不需要 server端执行。只要你输入的内容其他用户可以看得见,就可以在字符串里插
入js脚本,在其他人的浏览器里执行,偷取token, 所谓的XSS. 所以必须有filtering.
任何语言不会更安全。

upload

【在 k***5 的大作中提到】
: 难点在于你嵌入的JS如何在server side执行,没见过哪个WEB server提供HTTP upload
: JS 直接在server side执行的。
: hijack client 不在这个范畴里,那是欺骗client 执行你嵌入的JS。任何恶意网站理
: 论上都是这样干的。

1 (共1页)
进入Programming版参与讨论
相关主题
有人用Haskell吗借东风问一下:用JS可以cross domain接受SSL certificate吗?
haskell怎么读取二进制数组?cross origin resource sharing
请问个老的COMBINATION题tangerine网站用的html,把参数加在url,这样能避免xss吗?
[合集] 看了一段时间haskell,感觉被骗了node.js session的问题
面试碰到J2EE系统安全性的问题应该怎么回答?TeacherWei刚才收集点你的小数据
haskell 好像还不支持arm 64吧。请推荐perl web framework
关于web server对于web service的支持搞haskell的请总结industry best practice和未来发展方向
大家有没有觉得Scala不如Haskell美?程序员薪水
相关话题的讨论汇总
话题: haskell话题: 攻击话题: js话题: server话题: spring