web应用防火墙需要理解http协议、分析用户请求数据,实现往返流量的监测和控制,对于一些常见的攻击比如SQL注入、应用平台漏洞攻击、ddos攻击等攻击行为都有良好的防护效果。 现在针对web安全所采用的防御措施仍然不是很理想,由于web安全的特苏醒,各种字符集和编码方案很多,攻击者很容易绕过安全措施。
Web应用安全威胁的类型和应对方案 目前的一些主流攻击方式,有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击,这类攻击都已经形成了比较成熟的防御措施。 注入漏洞涉及的内容非常广泛,涵盖了各种语言环境以及众多不同的攻击类型,在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标,目前最常见的解决方法还是通过对js函数过滤进行防护。应用层ddos攻击是国内非常常见也是最难以防范的攻击手段,其根本原理是通过大批量的发送请求来非法占用服务资源,目前只能通过跨代理查询屏蔽ip的方式进行阻止。 Web应用防火墙构架建议 由于web应用的特殊性,针对web应用的攻击变形技术很多,单纯的基于特征签名的防御措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要原因。通过固定应对措施或单独使用编码技术进行防护的措施都具有一 定的限制性,而防火墙能够同时兼顾两个方面的需求,在设计中通过预处理
模块与检测模块的互为合作可以同时实现上述两个方面的需求。 Web应用防火墙防护功能的实现方案 1、 预处理模块,该模块的主要功能在于编码解码标准的实现和融入,基于SSL协议层实现。SSL协议是安全阶层协议,其主要功能为认证、加密、完整性验证三个方面。在编码标准化方面,由于web应用的特殊性,支持各种编码,攻击者可以通过各种编码和变换字符集来突破现有的防御措施。 2、 检测功能模块,检测模块在web应用防火墙中承担了安全功能需求导向部分的实现,功能涵盖了过滤器和权限控制两个方面:首先是过滤器,过滤器注重解决的就是web应用中最为严重的用户输入恶意信息的问题,其次是访问控制,web应用站点正常会包含一些不在正常网站数据目录树内的URL链接。WAF可以通过访问控制策略提供细粒度的访问控制列表,阻止这些链接的非授权访问。
版权声明:本文为CSDN博主「weixin_34241036」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_34241036/article/details/92409739
![TestLink导出用例转换工具(XML2Excel)[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)