返回
聊天室的攻防技巧

聊天室的攻防技巧

ID:20233254

大小:52.00 KB

页数:3页

时间:2018-10-08

聊天室的攻防技巧_第1页
聊天室的攻防技巧_第2页
聊天室的攻防技巧_第3页
资源描述:

《聊天室的攻防技巧》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、聊天室的攻防技巧~教育资源库  一、简介   随着Inter的普及和发展,网络这块净土也被黑客盯上而屡屡出现一些风波,比如重要网站被黑、商务站点受到影响等等,这些事例都是数不胜举。虽然这些事情和我们普通老百姓都是相距甚远的,但还是给网友们带来了不便,要想有效的防护自己的,首先就要知晓对方会采取何种破坏和攻击手段。  实际上存在着许多的聊天工具,比如可以通过V2登入到BBS进行聊天,也可以通过IRC协议进行及时的聊天,比如象ICQ、MSN和国内的OICQ软件都属于这种形式的聊天。  各种聊天工具都有它们自己的优缺点,比如IRC协议因为是完全基于字符的,所以

2、速度比较快。还有网站的聊天,该聊天系统的特点是用户注册登入以后,把用户浏览页面的情况实时的发送到相关的服务器上,这样,所有在同一个网站上面的用户就可以实时的进行沟通。基于L页面进行解析,而现在几乎所有的浏览器都支持JavaScript,这样如果用户在发送信息的时候,不是发送正常的文本而是一些带标记的HTML语言甚至是JavaScript的时候,如果这些语句又是一些恶意的程序代码,就会对用户造成损害。  另外,用户可以通过代理截获所有发送和接收的数据包,通过自己编写的应用程序不停的向服务器发送类似格式的数据包使服务器不能处理其他用户的信息包,能够这样做的原

3、因是因为浏览器和L和Javascript的支持,或者是仅仅允许一部分用户(比如聊天室的系统管理员等)使用这些功能。  三、需要注意的问题和防范  由于OICQ是用户间的直接连接,所以很容易被查出IP地址而受到攻击,在解决了单机上的安全问题之后,我们面对的将是如何在网络上进行防护。  首先,建议大家要安装防火墙程序。  目前比较好的防火墙有LockDo和天网等等,这些工具都有汉化的版本,因此使用方面应该是没有太大的问题。如果在这些防火墙程序中将安全等级设置为高的话,它们就会对网络上发送和接收的每一个字节进行监测,同时也会对指定的端口进行实时的查看,

4、一旦发现有非正常的数据包企图进入计算机系统,它们就会加以拦截。  关于信息长度的限制:  一般来说,在服务器发送给浏览器端的HTML中含有的JavaScript会对用户输入的信息做检查,防止信息超过一定的长度,但是实际上用户可以不通过浏览器,自己生成数据包发送到服务器端,所以为了防止用户发送过长的数据包,需要在服务器端检查用户的数据包的长度。当然这里同时需要注意的是要在用户登入的时候在服务器端检查用户名称和密码的最大长度,同时如果设定了用户性别的话,也要设定其长度限制,事实上如果用户是通过浏览器方式的话,因为在服务器发送给客户的HTML文本中已经通过Ja

5、vaScript剧本做了限定,一般不会有问题,但是要考虑用户通过自己合成数据包发送类似信息所产生的问题。  数据包内容的判断:  因为恶意用户可能会在发送的信息中含有恶意的JavaScript代码或者是HTML代码,如果这样的信息包在服务器端不经过处理而直接传送到其他用户的浏览器上的话,就会造成其他用户的浏览器不停的打开新的窗口,直到耗尽系统的资源。其他的比如发送特大的图象或者是其他的多媒体文件到指定的客户端就会对该客户端用户造成不良的影响。所以一般我们需要对用户发送的信息进行处理,屏蔽这些HTML语句和Javascript语句。因为所有的命令都是包含在

6、<>里面的,所以最简单的方法就是当服务器接收到<>字符的时候,只把<>看成是普通的字符而不是命令的标志符,就可以避免这个问题。当然为了增加聊天的趣味性,可以对某一些可信任的用户开放这些功能。  用户身份的鉴别:  很多聊天室在传送数据包的时候,只是根据网页中隐含的字段得到用户的名称作为用户的标识来发送信息。比如国内比较典型的聊天站点(.XXXXX.)的用户的发送信息的数据包的格式是这样的:GETBANNER?USER=username  SAYS=%3Ch2%3Ethis+is+test%3C%2Fh2%3EIMG=I

7、MGURL=  p;ACTION=%CB%B5%BB%B0as=onmsg=HTTP/1.0其中username就是表示该数据包是这个用户发送的。这样我们就很容易自己构建一个类似的数据包,而把用户名称替换成其他任何我们想要替换的人的名称,这样聊天室中的信息就会变得比较混乱,搞不清楚消息到底是谁发送的。  为了避免这个问题,我们的解决方案是这样的,当用户首次登入的时候,服务器系统应该生成一个唯一的sessionID来标识这个用户,这样,每次用户发送的数据包中必须包括这个sessionID,服务器根据这个sessionID来识别是否是该用户发送的消息,如果是

8、一个不合法的sessionID的话,就简单的丢弃这个数据包。因为sessionI

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。