WAF应用防火墙
什么是 Web 应用防火墙
Web应用防火墙(WAF),Web应用防火墙可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
常见的检测手段
Web 攻击常见的三种检测手段, 规则检测、AI检测或语义检测 。
规则检测:效率高、识别精准度高。其表现形式是正则表达式,通过正则表达式或组合来检测攻击,例如:OWASP Top10十大安全漏洞,也有与其对应的规则集合owasp top10 rules set,通过规则拦截恶意攻击已经是各大厂商的主流检测手段。目前各大WAF厂商都有自己的安全规则集合。
AI检测:通过AI机器学习或深度学习算法来检测Web攻击,能检出未知威胁,缺点检测效率低,一般用于离线检测,误报率相对较高,具体取决于算法模型及训练样本等。
语义检测:通过对SQL或XSS注入进行语法及词法分析来检测攻击,鉴于算法特点,误报率较高,一般用于告警,不直接拦截业务请求。
开放Web应用安全项目(OWASP)
OWASP是一个开源的、非盈利的全球性安全组织,致力于Web应用的安全研究。其使命是使Web应用更加安全,使企业和组织能够对安全风险作出更清晰的决策。OWASP曾经例举了10大常见攻击手段:
1)注入
攻击者把包含一段指令的数据发给应用,应用会当做指令执行。比如上面提到的SQL注入。
2)失效的身份认证和会话管理
应用程序没有能够提供正确的身份认证和会话管理功能,导致攻击者可以冒充他人身份。
3)跨站XSS
攻击者通过往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入Web页面里的Script代码会被执行,从而达到恶意攻击用户的目的。
4)不安全的对象直接引用
一个已经授权的用户通过更改访问时的一个参数,从而访问到原本其并没有得到授权的对象。比如修改URI里的购物车id参数访问他人的购物车。
5)伪造跨站请求(CSRF)
攻击者盗用了用户的身份,以合法用户的名义发送恶意请求。对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以用户的名义发送邮件、发消息。(CSRF漏洞)
6)安全配置问题
Web应用所在的服务器、平台、数据库、各种管理工具的配置或者账密泄露,导致相应设施暴露出安全风险。
比如:代码中存在账密信息,被反编译泄露;服务器上的目录列表未被禁用,导致攻击者可以找到服务器上的任何文件并下载。
7)限制URL访问失败
系统虽然明明对URL的访问做了权限限制,但这种限制并没有生效。
比如:系统没有对用户的角色做检查,用户通过修改URL能访问到其他用户或者管理员账户才能访问的URL。
8)未验证的重定向和转发
先说下重定向和转发的区别。
重定向(Redirect) :浏览器向服务器发送请求,服务器响应状态码302和新的location,浏览器发现状态码是302,会再向location发起一次http请求。所以浏览器发起了两次http请求,而且地址栏最后看到的也是新的location对应的URL。
转发(forward) :浏览器向服务器发送请求,服务器在内部完成转发路径的资源请求,并将请求结果返回给浏览器。浏览器只发起了一次http请求,而且地址栏看到的URL地址没有改变。
对于重定向和转发来说,目的URL请求中一般会带有参数,如果这些URL参数未做验证,那么就很容易被攻击者利用。
9)使用已经被发现存在漏洞的组件
Web应用使用带有已知漏洞的组件,比如库文件、框架或者其它软件模块,可能会导致严重的安全问题。比如数据泄露、服务器被黑客接管等。
10)敏感信息暴露
用户敏感信息比如信用卡号、手机号、身份证号等数据,一旦被攻击者窃取或者篡改,会造成非常严重的后果。敏感数据需要特殊的保护,比如存储和传输过程中加密,以及在和浏览器进行交互时进行特殊的预防措施。
WAF以OWASP提出的各种安全隐患作为具体实施时需要考虑的准则。上面提到的这些安全问题,都在WAF的防范范围之内。
WAF和传统防火墙的区别
传统防火墙主要用来保护服务器之间传输的信息,而WAF则主要针对Web应用程序。 网络防火墙和WAF工作在OSI7层网络模型的不同层,相互之间互补,往往能搭配使用。
网络防火墙工作在网络层和传输层,它们没有办法理解HTTP数据内容,而这个正式WAF所擅长的。网络防火墙一般只能决定用来响应HTTP请求的服务器端口是开还是关,没办法实施更高级的、和数据内容相关的安全防护。
总结
WAF是Web应用不可缺少的基础安全组件之一,能帮助我们预防一些常见的攻击手段。
- 上一篇: IDS、IPS和FW的区别
- 下一篇: 华为路由交换常用指令
不错不错,我喜欢看 www.jiwenlaw.com