攻击服务器判几年_攻击服务器java

用java实现http通信攻击

因为端口一共就65535个，再有服务器也不是所有端口都开的，这种攻击也没什么用吧……

北大青鸟java培训：如何防止java编程语言序列化 *** 攻击？

java编程一直以来都是互联网软件开发市场上的主流开发语言，同样的这也就导致了只要发生漏洞的话，所有用java编程开发的软件都会出现问题，下面广东java培训就一起来了解一下，java编程语言中的序列化问题应该如何解决。

什么是序列化?自从1997年发布JDK1.1以来，序列化已经存在于Java平台中。

它用于在套接字之间共享对象表示，或者将对象及其状态保存起来以供将来使用(反序列化)。

在JDK10及更低版本中，序列化作为java.base包和java.io.Serializable *** 的一部分存在于所有的系统中。

序列化的挑战和局限序列化的局限主要表现在以下两个方面：出现了新的对象传输策略，例如 *** ON、XML、ApacheAvro、ProtocolBuffers等。

1997年的序列化策略无法预见现代互联网服务的构建和攻击方式。

进行序列化漏洞攻击的基本前提是找到对反序列化的数据执行特权操作的类，然后传给它们恶意的代码。

序列化在哪里?如何知道我的应用程序是否用到了序列化?要移除序列化，需要从java.io包开始，这个包是java.base模块的一部分。

常见的使用场景是：实现Serializable接口和(可选)serialversionuid长整型字段。

使用ObjectInputStream或ObjectOutputStream。

使用严重依赖序列化的库，例如：Xstream、Kryo、BlazeDS和大多数应用程序服务器。

使用这些 *** 的开发人员应考虑使用其他存储和读回数据的替代 *** 。

EishaySmith发布了几个不同序列化库的性能指标。

在评估性能时，需要在基准度量指标中包含安全方面的考虑。

默认的Java序列化“更快”一些，但漏洞也会以同样的速度找上门来。

我们该如何降低序列化缺陷的影响?项目Amber包含了一个关于将序列化API隔离出来的讨论。

我们的想法是将序列化从java.base移动到单独的模块，这样应用程序就可以完全移除它。

在确定JDK11功能集时并没有针对该提议得出任何结果，但可能会在未来的Java版本中继续进行讨论。

通过运行时保护来减少序列化暴露一个可以监控风险并自动化可重复安全专业知识的系统对于很多企业来说都是很有用的。

Java应用程序可以将JVMTI工具嵌入到安全监控系统中，通过插桩的方式将传感器植入到应用程序中。

其他有用的安全技术在进行维护时，可以不需要手动列出一长串东西，而是使用像OWASPDependency-Check这样的系统，它可以识别出已知安全漏洞的依赖关系，并提示进行升级。

也可以考虑通过像DependABot这样的系统进行库的自动更新。

虽然用意很好，但默认的Oracle序列化过滤器存在与SecurityManager和相关沙箱漏洞相同的设计缺陷。

因为需要混淆角色权限并要求提前了解不可知的事物，限制了这个功能的大规模采用：系统管理员不知道代码的内容，所以无法列出类文件，而开发人员不了解环境，甚至DevOps团队通常也不知道系统其他部分(如应用程序服务器)的需求。

常见的web攻击有什么？

Web服务可以认为是一种程序，它使用HTTP协议将网站中的文件提供给用户，以响应他们的请求。这些请求由计算机中的HTTP客户端转发。为Web服务提供硬件基础的专用计算机和设备称为Web服务器。从这种 *** 设计中可以看到，Web服务器控制着大量信息。如果一个人拥有进入Web服务器修改数据的能力，那他就可以对该Web服务器所服务的信息和网站做任何他想做的事情。有以下七种常见攻击：

1.目录遍历攻击 - 此类攻击利用Web服务器中的漏洞来未经授权地访问不在公共域中的文件和文件夹。一旦攻击者获得访问权限，他们就可以下载敏感信息，在服务器上执行命令或安装恶意软件。

2.拒绝服务攻击 - 借助此攻击类型，Web服务器将会无法被合法用户访问，一般表现为超时，崩溃。这通常被攻击者用于关闭具有特定任务的服务器。

3.域名劫持 -在此攻击中，攻击者更改DNS设置以重定向到他自己的Web服务器。

4.嗅探 - 在没有加密的情况下，通过 *** 发送的数据可能会被截获。通过对数据的分析攻击者可能会获得对Web服务器的未授权访问或身份伪造的能力。

5. *** 钓鱼 - 这是一种将真实网站克隆到虚假网站的攻击，用户不知道他们是否在真实的网站上。这种攻击通过欺骗用户来窃取敏感信息，如登录密码、银行卡详细信息或任何其他机密信息。

6.域欺骗 - 在此攻击中，攻击者会破坏域名系统（DNS）或用户计算机，以便将流量定向到恶意站点。

7.Web破坏 - 通过这种类型的攻击，攻击者用自己的页面替换组织的网站。这种情况下，无论攻击者想在网站上取代什么，他都可以在这次攻击中做到。

如果遇到攻击却没有一个专业的程序员维护，网站会经常性的出现很多问题，网页打开缓慢、延迟、打不开甚至死机，因此流失很多客户。

推荐杭州超级科技的超级盾！主要针对HTTP/HTTPS类Web业务的全球分布式云防御产品。具有DDoS防御、CC防御、云WAF等功能。客户自身不需要在本地部署任何安全设备，只需采用CNAME替换网站A记录、或高防IP方式即可快速接入我们的服务。超级盾（WEB版）智能DNS能快速调度到全球离客户最近的清洗中心，具有智能路由、智能加速的特性。

一加手机怎么看哪个软件窃取支付信息

就一加手机支付漏洞讨论在线支付中的安全风险

FreeBuf 官方

2018-02-12 15:00

关注

背景介绍

近期，Fidus团队的研究人员在OnePlus（一加手机）论坛上发现了一个非常有意思的帖子。在这个帖子中，很多论坛用户表示他们在2017年11月份曾在OnePlus官网上进行过信用卡消费，而随后信用卡欺诈事件便发生在了这些用户的身上，所以他们才在论坛中发帖询问社区中是否有其他用户遇到了同样的问题（剧透：很多用户都遇到了这个问题）。

值得一提的是，近期OnePlus使用了Magento电子商务平台，而这个常见的平台也是信用卡攻击事件经常发生的地方。

但是，这些发现并不能证明OnePlus发生了数据泄露。因此，我们接下来一起看一看OnePlus当前所采用的支付流程以及系统结构，并分析一下为何用户的信用卡信息会到攻击者的手上。

事件分析-为何会发生这种事情？

我们对OnePlus网站的支付流程进行了一遍完整的检查，有趣的是，网站的支付页面所请求的客户支付卡数据会直接存储在网站中，这也就意味着用户所输入的全部支付信息都可以被攻击者直接拦截。当支付表单提交之后，支付信息将会被发送到第三方提供商进行处理，但是在数据被加密之前，攻击者可以通过在窗口中嵌入恶意代码来窃取信用卡数据。

OnePlus则表示，他们不负责处理任何的支付卡信息，支付交易的处理是由CyberSource处理的，但是支付表单却仍然托管在OnePlus的基础设施中。如果攻击者拥有该页面的读写权限，那么他们就能够向页面中注入Java代码并尝试从客户端的支付表格中窃取键入的数据。

剖析支付流程

对于Magento电子商务平台来说，信用卡欺诈已经是“家常便饭“了，早在2015年，Sucuri就已经发文讨论过这个问题了【文章链接】。

目前来说，攻击者主要有两种从电子商务平台中窃取信用卡数据的 *** 。之一种，就是利用Java代码直接从客户端窃取。这种 *** 需要在Web页面中托管恶意Java代码，而恶意代码将会让客户设备在后台悄悄地给攻击者控制的服务器发送伪造请求。这样一来，攻击者就可以利用伪造的请求来发送用户所有的信用卡数据了。我们对OnePlus的结算页面源代码进行了分析，但是并没有发现任何的恶意Java代码，不过也有可能是攻击者在完成攻击之后将恶意代码移除了。

另一种 *** 也是攻击者常用的一种 *** ，根据Sucuri所发的文章，在实现这种攻击时，攻击者不仅需要修改app/code/core/Mage/Payment/Model/Method/Cc.php文件，而且还需要使用Shell访问后台服务器。

Cc.php文件负责在电子商务网站中存储支付卡数据，其实无论支付卡数据是否成功存储，服务器都会调用这个文件。因此，攻击者就可以在这个文件中注入恶意代码，并远程窃取信用卡信息。由于整个攻击过程发生在Cc.php文件中的prepareSave()函数中，所以此时的信用卡数据还没有被加密。恶意代码样本如下所示：

下图显示的是攻击者窃取信用卡元数据的大致流程：

漏洞影响

目前为止，OnePlus论坛中已经有超过40名用户表示自己受到了信用卡欺诈攻击，而且也有很多Reddit用户同样在抱怨类似的问题。

除此之外，很多Twitter用户也开始讨论这种潜在的安全问题了。

攻击者如何利用这个漏洞？

1. 当用户点击了订单按钮之后，用户的浏览器会向OnePlus电子商务服务器发送请求；

2. OnePlus电子商务服务器会返回带有支付表单的HTML页面；

3. 客户在表单中输入自己的支付信息，然后点击提交按钮；

4. 支付数据直接从用户的浏览器发送到了CyberSource

1. 当用户点击了订单按钮之后，用户的浏览器会向OnePlus电子商务服务器发送请求；

2. OnePlus电子商务服务器会返回带有支付表单的HTML页面；

3. 客户在表单中输入自己的支付信息，然后点击提交按钮；

4. 支付数据直接从用户的浏览器发送到了CyberSource

当OnePlus电子商务服务器给用户返回带有支付表单的HTML页面之后，注入在其中的Java代码将会把用户所输入的全部内容（信用卡数据）发送给攻击者。

用户如何保护自己的安全？

防止信用卡欺诈最保险的 *** 就是使用离线支付处理器，或者是整合了iFrame的支付结算页面。除此之外，很多第三方支付平添也提供了PCI兼容沙盒来更加安全地处理支付卡信息。

虽然使用整合了iFrame的支付页面是一种更加安全的选项，但这种 *** 仍然无法抵御基于Java的攻击。

注：我们强烈建议大家定期对自己的电子商务网站进行安全渗透测试以避免任何的安全风险。

事件更新#1

OnePlus引入了CyberSource Magento插件来尝试解决这个问题：

CyberSource通过研究后发现，用户所提交的所有支付数据都直接在客户端浏览器中完成了操作，而且并没有触及到电子商务基础设施。

事件更新#2

OnePlus已经在官网上发布了一份声明，并给受此事件影响的用户发送了通知邮件，以告知用户数据泄露事件的大致情况（总共大约有4万名用户的支付信息被窃取）。