https防流量劫持
ox10 前言
互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险。
目前出现的劫持现象更是五花八门:搜索引擎劫持、网络劫持、浏览器劫持、路由器劫持等常见的网站劫持,面对多种方式的网站劫持,我们应该如何应对?
0x11 限制网站权限
部分网站遭遇劫持主要由于非法服务器获取了 Web 网站文件及文件夹的读写权限,针对这个问题,我们可以利用服务器的安全设置、提高网站程序的安全性,以此防范 Web 劫持。
0x12 提升网站 防 SQL 注入功能
SQL 注入通过利用 SQL 语言的特性,向 Web 数据库写入内容,获取权限,因此我们需要针对MS SQL Server 数据库中的小权限 sa 默认用户,建立一个只能访问本系统数据库的专一用户,并且为他配置最小权限。
0x13 配置 Web 站点文件夹及其操作权限
使用 Windows 系统中的超级管理员权限对 Web 站点文件和文件夹进行权限配置。将大部分人的权限配置为仅读权限,黑客在没有写权限的情况下,很难将木马程序植入,减少网站域名劫持的可能性。
0x14 定期清理 Web 网点中存在的可疑文件
不管黑客通过何种方式获取权限,在事件管理器中都会显示出异常情况,通过对异常事件和日期的分析,查看执行代码文件中是否被人注入代码或改动,并且对新增可执行代码进行清理。
0x20 HTTPS防劫持
由于公共 DNS、HttpDNS 的部署成本过高,有一定的技术难度,并且在面对无孔不入的流量劫持时难免会力有不逮。这时候网站开启 HTTPS 作为防劫持手段之一可以高效的解决这些问题。目前绝大部分网站也都已经启用 HTTPS 来加密。
0x21 http CS图解
http协议,在客户端和服务器端进行交互时,直接采用的明文传输的方式(裸奔),交互的数据很容易被Hacker截获。[Http请求如下图]
0x22 https CS图解
HTTPS 协议就是HTTP+SSL/TLS,在 HTTP 的基础上加入 SSL /TLS 层,提供了内容加密、身份认证和数据完整性三大功能,最终目的就是为了加密数据,用于安全的数据传输。
SSL 协议在 HTTP 请求中增加了握手阶段,并且对明文 HTTP 请求、应答进行加密。SSL 握手阶段,客户端浏览器会进行服务器身份认证,确认客户端证书证书属于该目标网站并且证书本书有效的时候,并且通信双方还会共同使用一个加密和解密的会话密钥。[https图解如下]
在 SSL 握手阶段结束之后,服务端和客户端通过会话密钥对交互数据进行加密/解密操作,将HTTP 请求和应答经过加密之后才会发送到发送到网络上。
通过 SSL 协议对 Web 服务器的身份认证,使流量劫持导致的连接错误服务器情况被发现和终止,保证流量劫持无法实现。同时 HTTPS 在数据传输中对数据进行加密传输,保护数据不被窃取以及修改。
如何快速启用 HTTPS
鉴于启用 HTTPS 会带来一定的服务器资源消耗,目前大多数公司普遍的选择是直接使用国内的 CDN 服务,又拍云提供一站式 HTTPS 服务,简单几步就能完成全站 HTTPS 的部署,阿里云,百度云都有提供免费类证书(DVS)
[ 阿里云证书Dvs配置]http://blog.csdn.net/ZmeiXuan/article/details/78562883
https防流量劫持相关推荐
- HTTP/HTTPS与流量劫持/DNS劫持
DNS劫持:类似使用导航系统时,导航被劫持,给了一条驶向贼窝的路线. 流量劫持:类似写信,信的内容被改过,收信人并不知情. HTTP: 1,HTTP不能防DNS劫持,劫持者可以把域名解析指向别的服务器 ...
- 使用HTTPS防止流量劫持
原文地址:https://yq.aliyun.com/articles/2666?spm=5176.100244.teamlist.22.tAQ5BV 摘要: 何为流量劫持 前不久小米等六家互联网公司 ...
- JavaScript防流量劫持
劫持产生的原因和方式 在网页开发的访问过程中, http是我们主要的访问协议.我们知道http是一种无状态的连接.即没有验证通讯双方的身份,也没有验证信息的完整性,所以很容易受到篡改.运营商就是利用了 ...
- DNS劫持、流量劫持,HTTP/HTTPS劫持
DNS劫持:DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问 ...
- Web如何应对流量劫持?
虽然互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险 ...
- https怎么防止流量劫持
相信很多人都遇见过域名没输错,结果却跑到了一个钓鱼网站上这样的情况,用户数据泄露.流量劫持.页面篡改等安全事件频发. iis7网站监控 网站打开速度查询.DNS污染.地区电信劫持等问题检测. 全站HT ...
- 网站劫持流量是什么意思,怎么防流量被劫持?
流量劫持,是利用各种恶意软件修改浏览器.锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形.流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗等,很多人已经对此麻木,并认为流 ...
- HTTPS如何防止流量劫持?一篇文章让你了解什么是流量劫持
流量劫持总体来说属于中间人攻击(Man-in-the-Middle Attack,MITM)的一种,本质上攻击者在通信两端之间对通信内容进行嗅探和篡改,以达到插入数据和获取关键信息的目的. 能够实施流 ...
- 【流量劫持】躲避 HSTS 的 HTTPS 劫持
前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 ...
- HTTPS 能否避免流量劫持?
近日,看了一篇关于流量劫持的文章<安全科普:流量劫持能有多大危害?>,作者EtherDream以图文并茂的形式详细讲解了流量劫持及相关知识."在如今这个讲究跨平台.体验好,并有云 ...
最新文章
- 上几个WebAPI就算微服务架构?Too Young!
- 《Effective Debugging:软件和系统调试的66个有效方法》一第5条:在能够正常运作的系统与发生故障的系统之间寻找差别...
- 用单片机测量流体流速的_金属管转子流量计基本测量原理
- mysql转达梦7_从mysql换成达梦7后,查询语句报错,这个是druid的问题吗
- C++ 全局变量 静态变量 全局函数 静态函数
- 带你用Python玩转PPT
- 文本导入ORACLE快速,Oracle批量导入文本文件快速的方法(sqlldr实现)
- 常用 css html 样式
- 后端返回图片二进制流,前端处理
- 菠萝罐头的全球与中国市场2022-2028年:技术、参与者、趋势、市场规模及占有率研究报告
- android 摄像头黑屏,5+app 安卓调用摄像头黑屏 苹果可以
- Linux定时任务的基础操作
- C#基础+面向对象学习
- windows10自带视频录制器
- 微信小程序开发数据缓存基础知识辨析以及运用实例
- CSS——网易云音乐首页之轮播图的实现(完整版)
- 网站建设需要网站服务器吗
- 【Spring Web教程】SpringBoot 实现一应用多端口
- 常用的数据集成ETL工具有哪些?
- 猜生日 Java小游戏