


Perbincangan ringkas tentang prinsip dan pertahanan serangan DDoS menggunakan kemahiran JavaScript_javascript
Serangan Penafian Perkhidmatan (DDoS) Teragih ialah salah satu serangan tertua dan paling biasa terhadap tapak web. Nick Sullivan ialah jurutera sistem di CloudFlare, penyedia perkhidmatan pecutan dan keselamatan tapak web. Baru-baru ini, beliau menulis artikel memperkenalkan cara penyerang menggunakan tapak web berniat jahat, rampasan pelayan dan serangan orang di tengah-tengah untuk melancarkan serangan DDoS, dan menerangkan cara menggunakan HTTPS dan teknologi yang akan datang yang dipanggil "Integriti Subsumber ( Subresource Integrity) teknologi web baharu SRI) melindungi tapak web daripada serangan.
Kebanyakan interaksi di tapak web moden datang daripada JavaScript. Tapak web melaksanakan fungsi interaktif dengan menambahkan kod JavaScript terus ke HTML atau memuatkan JavaScript dari lokasi terpencil melalui elemen HTML
function imgflood() { var TARGET = 'victim-website.com' var URI = '/index.php?' var pic = new Image() var rand = Math.floor(Math.random() * 1000) pic.src = 'http://'+TARGET+URI+rand+'=val' } setInterval(imgflood, 10)
Skrip di atas akan mencipta 10 teg imej pada halaman setiap saat. Teg menghala ke "victim-website.com" dengan parameter pertanyaan rawak. Jika pengguna melawati tapak web berniat jahat yang mengandungi kod ini, maka dia secara tidak sedar akan mengambil bahagian dalam serangan DDoS pada "victim-website.com", seperti yang ditunjukkan dalam rajah di bawah:
Banyak tapak web menggunakan set perpustakaan JavaScript biasa. Untuk menjimatkan lebar jalur dan meningkatkan prestasi, mereka menggunakan perpustakaan JavaScript yang dihoskan oleh pihak ketiga. jQuery ialah perpustakaan JavaScript paling popular di web, digunakan oleh kira-kira 30% tapak web setakat 2014 . Perpustakaan popular lain termasuk SDK Facebook dan Analitis Google. Jika tapak web mengandungi teg skrip yang menghala ke fail JavaScript yang dihoskan oleh pihak ketiga, semua pelawat ke tapak web akan memuat turun fail dan melaksanakannya. Jika penyerang menjejaskan pelayan sedemikian yang mengehoskan fail JavaScript dan menambahkan kod DDoS pada fail, maka semua pelawat akan menjadi sebahagian daripada serangan DDoS Ini adalah rampasan pelayan, seperti yang ditunjukkan dalam rajah di bawah:
Serangan ini berfungsi kerana terdapat mekanisme yang hilang dalam HTTP yang membolehkan tapak web melumpuhkan skrip yang diusik daripada berjalan. Untuk menyelesaikan masalah ini, W3C telah mencadangkan penambahan ciri baharu, ketekalan subsumber. Ciri ini membolehkan tapak web memberitahu pelayar untuk menjalankan skrip hanya jika skrip yang dimuat turunnya sepadan dengan skrip yang ingin dijalankan oleh tapak web. Ini dicapai melalui pencincangan kata laluan, kodnya adalah seperti berikut:
<script src="https://code.jquery.com/jquery-1.10.2.min.js" integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" crossorigin="anonymous">
Cincang kata laluan secara unik mengenal pasti blok data dan tiada dua fail akan mempunyai cincang kata laluan yang sama. Atribut integriti menyediakan cincang kata laluan bagi fail skrip yang ingin dijalankan oleh tapak web. Selepas penyemak imbas memuat turun skrip, ia mengira cincangnya dan kemudian membandingkan nilai yang terhasil dengan nilai yang disediakan oleh integriti. Jika ia tidak sepadan, skrip sasaran telah diusik dan penyemak imbas tidak akan menggunakannya. Walau bagaimanapun, banyak penyemak imbas tidak menyokong ciri ini pada masa ini, dan Chrome dan Firefox menambah sokongan untuk ciri ini.
Serangan Man-in-the-middle ialah cara terbaharu untuk penyerang memasukkan kod JavaScript hasad ke dalam tapak web. Apabila mengakses tapak web melalui penyemak imbas, ia melalui banyak nod. Jika mana-mana nod perantaraan menambahkan kod hasad pada halaman web, ia akan membentuk serangan man-in-the-middle, seperti ditunjukkan dalam rajah di bawah:
Teknologi penyulitan boleh menyekat suntikan kod ini sepenuhnya. Dengan HTTPS, semua komunikasi antara penyemak imbas dan pelayan web disulitkan dan disahkan, menghalang pihak ketiga daripada mengubah suai halaman web semasa penghantaran. Oleh itu, menetapkan tapak web kepada HTTPS sahaja, menyimpan sijil dan mengesahkan sijil boleh menghalang serangan orang tengah dengan berkesan.
Apabila membalas komen netizen, Nick menegaskan bahawa SRI dan HTTPS saling melengkapi, dan menggunakan kedua-duanya pada masa yang sama boleh memberikan perlindungan yang lebih baik untuk tapak web. Sebagai tambahan kepada kaedah di atas, menggunakan beberapa produk keselamatan anti-DDoS untuk mengukuhkan perlindungan juga merupakan pilihan.

Aplikasi JavaScript di dunia nyata termasuk pengaturcaraan sisi pelayan, pembangunan aplikasi mudah alih dan Internet of Things Control: 1. Pengaturcaraan sisi pelayan direalisasikan melalui node.js, sesuai untuk pemprosesan permintaan serentak yang tinggi. 2. Pembangunan aplikasi mudah alih dijalankan melalui reaktnatif dan menyokong penggunaan silang platform. 3. Digunakan untuk kawalan peranti IoT melalui Perpustakaan Johnny-Five, sesuai untuk interaksi perkakasan.

Saya membina aplikasi SaaS multi-penyewa berfungsi (aplikasi edTech) dengan alat teknologi harian anda dan anda boleh melakukan perkara yang sama. Pertama, apakah aplikasi SaaS multi-penyewa? Aplikasi SaaS Multi-penyewa membolehkan anda melayani beberapa pelanggan dari Sing

Artikel ini menunjukkan integrasi frontend dengan backend yang dijamin oleh permit, membina aplikasi edtech SaaS yang berfungsi menggunakan Next.Js. Frontend mengambil kebenaran pengguna untuk mengawal penglihatan UI dan memastikan permintaan API mematuhi dasar peranan

JavaScript adalah bahasa utama pembangunan web moden dan digunakan secara meluas untuk kepelbagaian dan fleksibiliti. 1) Pembangunan front-end: Membina laman web dinamik dan aplikasi satu halaman melalui operasi DOM dan kerangka moden (seperti React, Vue.js, sudut). 2) Pembangunan sisi pelayan: Node.js menggunakan model I/O yang tidak menyekat untuk mengendalikan aplikasi konkurensi tinggi dan masa nyata. 3) Pembangunan aplikasi mudah alih dan desktop: Pembangunan silang platform direalisasikan melalui reaktnatif dan elektron untuk meningkatkan kecekapan pembangunan.

Trend terkini dalam JavaScript termasuk kebangkitan TypeScript, populariti kerangka dan perpustakaan moden, dan penerapan webassembly. Prospek masa depan meliputi sistem jenis yang lebih berkuasa, pembangunan JavaScript, pengembangan kecerdasan buatan dan pembelajaran mesin, dan potensi pengkomputeran IoT dan kelebihan.

JavaScript adalah asas kepada pembangunan web moden, dan fungsi utamanya termasuk pengaturcaraan yang didorong oleh peristiwa, penjanaan kandungan dinamik dan pengaturcaraan tak segerak. 1) Pengaturcaraan yang didorong oleh peristiwa membolehkan laman web berubah secara dinamik mengikut operasi pengguna. 2) Penjanaan kandungan dinamik membolehkan kandungan halaman diselaraskan mengikut syarat. 3) Pengaturcaraan Asynchronous memastikan bahawa antara muka pengguna tidak disekat. JavaScript digunakan secara meluas dalam interaksi web, aplikasi satu halaman dan pembangunan sisi pelayan, sangat meningkatkan fleksibiliti pengalaman pengguna dan pembangunan silang platform.

Python lebih sesuai untuk sains data dan pembelajaran mesin, manakala JavaScript lebih sesuai untuk pembangunan front-end dan penuh. 1. Python terkenal dengan sintaks ringkas dan ekosistem perpustakaan yang kaya, dan sesuai untuk analisis data dan pembangunan web. 2. JavaScript adalah teras pembangunan front-end. Node.js menyokong pengaturcaraan sisi pelayan dan sesuai untuk pembangunan stack penuh.

JavaScript tidak memerlukan pemasangan kerana ia sudah dibina dalam pelayar moden. Anda hanya memerlukan editor teks dan penyemak imbas untuk memulakan. 1) Dalam persekitaran penyemak imbas, jalankan dengan memasukkan fail HTML melalui tag. 2) Dalam persekitaran Node.js, selepas memuat turun dan memasang node.js, jalankan fail JavaScript melalui baris arahan.


Alat AI Hot

Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool
Gambar buka pakaian secara percuma

Clothoff.io
Penyingkiran pakaian AI

AI Hentai Generator
Menjana ai hentai secara percuma.

Artikel Panas

Alat panas

MinGW - GNU Minimalis untuk Windows
Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.

PhpStorm versi Mac
Alat pembangunan bersepadu PHP profesional terkini (2018.2.1).

SublimeText3 Linux versi baharu
SublimeText3 Linux versi terkini

SecLists
SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.

Muat turun versi mac editor Atom
Editor sumber terbuka yang paling popular