漏洞扫描中级风险Web应用漏洞检测到目标主机可能存在缓慢的HTTP拒绝服务攻击

缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击，攻击者操纵网络上的肉鸡，对目标Web服务器进行海量HTTP请求攻击，直到服务器带宽被打满，造成了拒绝服务。

慢速HTTP拒绝服务攻击经过不断的演变和发展，主要有三种攻击类型，分别是Slow headers、Slow body、Slow read。以Slow headers为例，Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部，因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点，发起一个HTTP请求，一直不停的发送HTTP头部，消耗服务器的连接和内存资源。抓包数据可见，攻击客户端与服务器建立TCP连接后，每10秒才向服务器发送一个HTTP头部，而Web服务器在没接收到2个连续的\r\n时，会认为客户端没有发送完头部，而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。

解决方案：

针对慢速HTTP拒绝服务攻击，Nginx可以采取一些措施来进行防护。以下是一些常见的防护手段：

限制并发连接数： 使用Nginx的limit_conn_module模块可以限制每个IP地址的并发连接数，从而减少攻击者可以使用的连接数，减轻服务器负载。超时配置： 配置Nginx的超时参数，包括client_body_timeout、client_header_timeout等，确保在规定时间内收到完整的请求，否则断开连接。使用缓冲区和负载均衡： Nginx可以通过使用缓冲区和负载均衡来平衡和控制传入的流量，以便更好地处理慢速攻击。网络层防护： 在Nginx之前使用防火墙或专门的DDoS防护设备（如CDN服务）来过滤恶意流量，减轻对Nginx的压力。定制配置： 根据具体情况，定制Nginx的配置，如调整连接超时时间、请求处理时间等参数，以适应当前环境和服务的需求。

通过以上措施，可以有效地减轻慢速HTTP拒绝服务攻击对Nginx服务器的影响，提高服务器的稳定性和安全性。

下面是一个使用Nginx的limit_conn_module模块以及client_body_timeout和client_header_timeout配置的示例：

http {    # 配置limit_conn_module，限制每个IP地址的并发连接数为10    limit_conn_zone $binary_remote_addr zone=concurrent:10m;        server {        listen 80;        server_name example.com;                location / {            # 开启连接数限制            limit_conn concurrent 10;                        # 设置请求体超时时间为10秒            client_body_timeout 10s;                        # 设置请求头超时时间为5秒            client_header_timeout 5s;                        # 其他配置项...        }    }}

不通过nginx的话走springBoot里

# 开发环境配置server:  # 服务器的HTTP端口，默认为8080  port: 8080  servlet:    # 应用的访问路径    context-path: /szls  tomcat:    # 设置连接超时时间为5000毫秒    connection-timeout: 5000    # tomcat的URI编码    uri-encoding: UTF-8    # 连接数满后的排队数，默认为100    accept-count: 1000    threads:      # tomcat最大线程数，默认为200      max: 800      # Tomcat启动初始化的线程数，默认值10      min-spare: 100

设置springBoot请求超时时间

通过静态代码扫描发现SQL注入缺陷超危等级

下面是SQL注入攻击的语句：

String SQLQuery = "SELECT Username,Password FROM users WHERE Username =" OR 0 = 0 "AND Password

= " OR 0 = 0 ";"

Mybatis中产生SQL注入的原因是在mapper文件支持两种参数符号，一种是#，另一种是$

这两种符号（#和$）的区别是：

#：使用预编译，没有SQL注入风险；

$：直接替换字符串，相当于拼接SQL，存在SQL注入风险。

代码示例2：

<select id="queryAll" resultMap="resultMap">

select * from `table_name` where `id`=${id}

</select>

发现20多个mybatis xml文件都有这个问题，感到很奇怪

通过排查发现，是ruoyi框架里 ${params .dataScope} 这个数据权限过滤的有安全漏洞

mybatis数据权限过滤

科技vr黑客未来虚拟世界