這裡蒐索程式師資訊,查找有用的技術資料
當前位置:首頁 » 網頁前端 » web日誌分析waf
擴展閱讀
webinf下怎麼引入js 2023-08-31 21:54:13
堡壘機怎麼打開web 2023-08-31 21:54:11

web日誌分析waf

發布時間: 2022-11-25 06:21:05

① 如何進行網站日誌分析

一個合格的站長或者seoer必須要能看懂網站的伺服器日誌文件,這個日誌記錄了網站被搜索引擎爬取的痕跡,給站長提供了蜘蛛是否來訪的有力佐證,站長朋友可以通過網站日誌來分析搜索引擎蜘蛛的抓取情況,分析網站的是否存在收錄異常問題。並且我們可以根據這個日誌文件判斷蜘蛛來訪頻率以及抓取規律,這將非常有利於我們做優化。另外,學習分析網站日誌文件也是站長必須具備的能力,也是你從一個初級seo進階到seo高手的必由之路。但是前提是要主機服務商開通日誌統計功能,一般虛擬主機提供商都不會開通,你可以申請開通,或者自己到伺服器管理後台開通這個日誌統計功能,不過日誌也會佔用空間的,我們在看完日誌文件後,可以隔段時間清理下日誌文件。那麼如何分析伺服器日誌文件呢?聽我娓娓道來。

搜索引擎抓取網站信息必會在伺服器上留下信息,這個信息就在網站日誌文件里。我們通過日誌可以了解搜索引擎的訪問情況,一般通過主機服務商開通日誌功能,再通過FTP訪問網站的根目錄,在根目錄下可以看到一個log或者weblog文件夾,這裡面就是日誌文件,我們把這個日誌文件下載下來,用記事本(或瀏覽器)打開就可以看到網站日誌的內容。那麼到底這個日誌裡面隱藏了什麼玄機呢?其實日誌文件就像飛機上的黑匣子。我們可以通過這個日誌了解很多信息,那麼到底這個日誌給我們傳遞了什麼內容呢?

如果想要知道網站日誌文件包含了什麼內容,首先必須知道各搜索引擎的蜘蛛名稱,比如網路的蜘蛛程序名稱是spider,Google的機器人程序名稱是Google-Googlebot等等,我們在日誌的內容里搜索上述的的蜘蛛名就可以知道哪個搜索引擎已經爬取過網站了,這里就留下了他們的蛛絲馬跡。再者,必須能看懂常見的http狀態碼,最常見的HTTP狀態碼有200(頁面抓取成功)、304(上次抓取的和這次抓取的沒變化),404(未找到頁面,錯誤鏈接)500(伺服器未響應,一般由伺服器維護和出故障,網站打不開時出現的),這些狀態碼是我們站長朋友必須能看懂的,伺服器狀態碼的值是我們和蜘蛛交流的信號。知道了這些基本信息以後我們就可以根據網站日誌進行分析了,一般來說我們只看網路和谷歌蜘蛛的爬行和抓取情況,當然有特殊需要的也可以對其他幾個蜘蛛的爬行情況進行分析。網站日誌中出現大量的谷歌蜘蛛和網路蜘蛛,說明搜索引擎蜘蛛時常來光顧你的網站。

說到分析日誌文件,我們就不得不說分析日誌文件的時機了,那麼在什麼情況下我們要去分析日誌文件呢?首先,新網站剛建立的時候,這個時候也是站長朋友最急切的時候,我們一般都會焦急的等待搜索引擎收錄網站內容,經常會做的事情就是去網路或者Google用命令site:下網站域名看看是否被收錄,這個時候,其實我們沒必要頻繁的查詢網站是否被收錄,要想知道搜索引擎是否關顧我們的網站。我們就可以藉助網站日誌文件來查看,怎麼看?看網站日誌是否有搜索引擎的蜘蛛來網站抓取過,看返回的狀態碼是200還是其他,如果返回200說明抓取成功,如果返回404說明頁面錯誤,或者頁面不存在,就需要做301永久重定向或者302暫時重定向。一般抓取成功後被搜索引擎放出來的時間也會晚點,一般谷歌機器人放出來的比較快,最快可秒殺,但是網路反應就慢了,最快也要一周左右,不過11月份網路演算法調整後,放出來的速度還是很快的。其次,當網站收錄異常時我們要把正常收錄的日誌和異常的日誌進行對比分析,找出問題所在,這樣可以解決網站收錄問題,也是對完整優化大有裨益的。第三,網站被搜索引擎K掉後,我們必須要觀察網站日誌文件來亡羊補牢,一般這種情況下,日誌文件里只有很少的幾個蜘蛛爬行了首頁和robots,我們要找出被K的原因並改正,再提交給搜索引擎,接下來就可以通過觀察日誌來看蜘蛛是否正常來臨,慢慢過一段時間,如果蜘蛛數量增加或者經常來臨並且返回200狀態嗎,那麼恭喜你,你的網站又活了,如果半年都沒反應,那麼建議放棄該域名重新再戰了。

很多站長朋友不懂得如何利用網站日誌文件,遇到網站收錄問題就去提問別人,而不好好自檢,這是作為站長或者seoer的悲哀。而且網上的很多軟文都提到要做好日誌文件的分析,但是那隻是軟文而已,說不定寫文章的作者都沒有去看日誌文件。說到底,還是希望站長朋友一定不要忽略了網站日誌文件,合理的利用好網站日誌文件是一個站長或seoer必備的技能。再者說,看懂網站日誌文件並不需要你有多麼高深的編碼知識,其實只要看得懂html代碼和幾個返回的狀態碼就可以了,一定不能懶,或者抱著僥幸心理去對待你的網站,這種心理會導致你輸得很慘。如果你是一個小站長,或者你是一個seoer,如果你以前沒有意識到網站日誌文件的重要性,那麼從看到我寫的這篇文章開始要好好對待你的網站日誌了。

② 關於waf和web防火牆有了解的嗎他們是一樣的嗎,還是說有什麼本質上的區別

Web應用防火牆(WAF)專注於WEB應用系統和網站的應用層防護,解決了傳統網路防火牆難以應對的問題。WAF部署在Web應用程序前面,在用戶請求到達 Web伺服器前對用戶請求進行掃描和過濾,分析並校驗每個用戶請求的網路包,確保每個用戶請求有效且安全,對無效或有攻擊行為的請求進行阻斷或隔離。銳速雲可提供優質的web防火牆和waf雲防喲!

③ 網站安全防護(WAF)有什麼用

網站安全防護(WAF)一款通過對http請求的檢測分析,為Web應用提供實時防護的安全產品。WAF是Web Application Firewall的縮寫,WAF是雲盾提供的一項安全服務,為雲主機提供WEB安全防護服務,能夠有效防黑客利用應用程序漏洞入侵滲透。
網站安全防護的主要功能:
漏洞攻擊防護:網站安全防護目前可攔截常見的web漏洞攻擊,例如sql注入、XSS跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。
虛擬補丁:網站安全防護可提供0Day,NDay漏洞防護。當發現有未公開的0Day漏洞,或者剛公開但未修復的NDay漏洞被利用時,WAF可以在發現漏洞到用戶修復漏洞這段空檔期對漏洞增加虛擬補丁,抵擋黑客的攻擊,防護網站安全。

④ 新功能:阿里雲反爬蟲管理利器!

背景

爬蟲形勢

Web安全形勢一直不容樂觀, 根據 Globaldots的2018年機器人報告 , 爬蟲占據Web流量的42%左右.

為什麼要反爬

防資源過度消耗

大量的機器人訪問網站, 設想你的網站有42%的流量都不是真的人訪問的. 相當一部分還會大量佔用後台的網路帶寬, 伺服器計算, 存儲資源.

防黃牛黨

航空公司佔座: 黃牛黨利用惡意爬蟲遍歷航空公司的低價票,同時批量發起機器請求進行佔座,導致航班座位資源被持續佔用產生浪費,最終引發航班空座率高對航空公司造成業務損失,並且損害正常用戶的利益。

防薅羊毛黨

黃牛黨在電商活動時針對有限的高價值商品的限時秒殺、優惠活動等可牟利場景,批量發起機器請求來模擬正常的交易,再將商品、資源進行倒賣從中賺取差價,導致電商企業的營銷資源無法觸達正常用戶,而被黃牛牟取暴利。

防黑客

核心介面被刷: 登錄、注冊、簡訊等業務環節作為業務中的關鍵節點,相關介面往往會被黑客利用,為後續的欺詐行為作準備。

私信菜鳥007即可獲取數十套PDF!

為什麼需要日誌分析

找出隱藏更深的機器人

爬蟲與反爬蟲是一個攻與防的過程, 根據前述報告, 高級機器人占據了74%的比例(剩餘是比較簡單的機器人), 而根據 FileEye M-Trends 2018報告 ,企業組織的攻擊從發生到被發現,一般經過了多達101天,其中亞太地區問題更為嚴重,一般網路攻擊被發現是在近498(超過16個月)之後。有了日誌才能更好的找出隱藏很深的壞機器人.

了解機器人並區分對待

爬蟲也分好與壞, 搜索引擎來查詢, 才可以達到SEO效果並帶來更多有價值的訪問. 通過日誌可以幫助管理員更好的區分哪些是好的機器人, 並依據做出更加適合自己的反爬配置.

保留報案證據

發現非法攻擊的機器人, 可以保留攻擊者信息與路徑, 作為報警的重要證據.

增強運維效率

基於日誌可以發現異常, 並能快速報警並採取行動.

更多附加功能

依託日誌服務的其他功能, 可以發揮日誌的更大價值.

阿里雲反爬管理 - 實時日誌分析概述

阿里雲反爬管理

雲盾Anti-Bot Service是一款網路應用安全防護產品,專業檢測高級爬蟲,降低爬蟲、自動化工具對網站的業務影響。 產品提供從Web、App到API介面的一整套全面的惡意Bot防護解決方案,避免某一環節防護薄弱導致的安全短板。

阿里雲日誌服務

阿里雲的日誌服務(log service)是針對日誌類數據的一站式服務,無需開發就能快捷完成海量日誌數據的採集、消費、投遞以及查詢分析等功能,提升運維、運營效率。日誌服務主要包括 實時採集與消費、數據投遞、查詢與實時分析 等功能,適用於從實時監控到數據倉庫的各種開發、運維、運營與安全場景:

目前,阿里雲WAF與日誌服務打通,對外開發Web訪問與攻擊日誌。提供近實時的網站具體的日誌自動採集存儲、並提供基於日誌服務的查詢分析、報表報警、下游計算對接與投遞的能力。

發布地域

適用客戶

功能優勢

反爬日誌實時查詢分析服務具有以下功能優勢:

開通前提

限制說明

反爬管理所存儲的日誌庫屬於專屬的日誌庫,有如下限制:

使用場景

1.追蹤機器人爬取與封禁日誌,溯源安全威脅:

查看Top 100的爬取機器人列表:

2. 實時正常可信Web請求活動,洞察狀態與趨勢:

查看PV/UV訪問趨勢的SQL:

3. 快速了解安全運營效率,即時反饋處理:

查看有效請求與攔截率趨勢的SQL:

4. 輸出安全網路日誌到自建數據與計算中心

進一步參考

我們會陸續發布WAF安全日誌分析的最佳時間, 這里可以進一步參考相關用戶手冊:

⑤ 1Web日誌數據分析模型的設計思想與實現

1Web日誌數據分析模型的設計思想

本論文設計平台通過對web日誌文件分析,統計出哪個頁面最受歡迎,訪問者來自哪裡,訪問時段分布情況等。分析結果生成HTML代碼,最終通過瀏覽器以頁面的形式將各種報表呈現在用戶面前。其中要用到目前比較常用的ASP技術,由於要將海量的日誌數據存入,所以還要用到SQL-Server這個功能強大的資料庫

1.1系統的體系結構

Web日誌數據分析系統的主要用戶是一般企業網站或個人網站管理員,目前常見的網路開發模式共有3種體系結構:兩層Client/Server(C/S)體系結構;三層Client/Server/Database(C/S/D)體系結構;三層Browser/Server/Database(B/S/D)體系結構。綜合考慮本系統的用戶群特點及這三種體系結構特點,最終採用的體系結構是目前國際上流行的「Browser/WebServer/Database」即三層網路結構模型。這種體系結構簡單實用,客戶端只要採用標准瀏覽器與網路進行連接就可以了。

1.2系統功能模塊設計

系統功能模塊是系統與用戶交互的介面,本系統包括:數據預處理模塊、基本分析模塊、智能分析模塊和可視化模塊,系統功能模塊.數據預處理模塊:該模塊主要功能是首先去掉原先存放在關系資料庫中的部分沒有用的原始日誌,然後設置日誌文件格式、采樣方法,依據包含替換規則對數據進行凈化,再將該數據導入源資料庫,形成頁面映射表信息,最後形成用戶表。基本分析模塊:該模塊主要是對網站的`訪問情況進行以下6方面的統計匯總,即時段分析模塊、地域分析模塊、來源統計模塊、客戶端分析模塊、受訪頁分析模塊、搜索引擎模塊。智能分析模塊:該模塊主要功能是利用關聯規則對Web站點的頁面之間的鏈接關系和站點結構進行分析,構建一個新的Web站點拓撲結構,尋有關聯的客戶群體,開展有針對性和個性化的電子商務活動。

2Web日誌數據分析系統功能的實現

2.1數據收集

由於本系統是對Web日誌的分析,所以數據收集部分的工作實際上就是對日誌的收集工作,所以最重要得一點是網站的管理者允許對其日誌文件進行研究,在同意對日誌文件保密的前提下,筆者從電腦商網中國IT商務門戶(www.cnitsw.com)獲取了一段時間的網站日誌文件以此作為分析對象。

2.2數據預處理

數據的預處理過程是將Web日誌整理成適合數據挖掘的數據模型。整個挖掘預處理過程分為數據凈化、用戶識別、會話識別、路徑補充、事務識別5個步驟。

2.3智能分析模塊實現

我們利用了Apriori演算法的思想,但同時對APriori演算法進行了改造,採用了改進的APriori演算法進行頻繁路徑挖掘。改進Apriori是受到APriori演算法的啟發,但它適合頻繁路徑的挖掘。

2.4基本分析模塊實現

基本分析可以分為兩個方面,一是網站整體的訪問統計,另一方面是具體網頁的訪問分析。整體分析可以統計用戶數、點擊數,分析客戶端信息等等;對具體網頁可以統計其訪問量,以分析其受歡迎程度,也可表示其重要程度。這些工作的數據來源是預處理中數據清理階段產生的源資料庫和整個預處理階段後產生的用戶事務資料庫,實現方法也比較簡單,一般都是簡單的統計分析處理。基本分析模塊由時段分析模塊、地域分析模塊、來源統計模塊、客戶端分析模塊、受訪頁分析模塊、搜索引擎分析模塊6個模塊組成。本文以時段分析模塊為例進行闡述。根據日誌中的日期域(data)、時間域(time)以及所花時間域(time-taken)可以統計出每天哪個時段的訪問人數和具體逗留時間,每個小時訪問量的變化,通過一天中每小時的訪問數可以得出站點哪個時間段的訪問人數最多是訪問高峰期,進而分析出訪問人群的職業和上網習慣等相關信息。

Web日誌數據分析是internet信息處理的一個重要應用,目前我們只是實現了一些簡單的功能,還可以對WEB日誌的分析處理上進行某些更詳細的深入分析,譬如可以根據訪問者的登錄時間、訪問頁面、停留時間等信息進行統計分析,然後制定個性化的電子商務營銷策略,幫助電子商務網站在最短的時間內抓住最有效的客戶。還可根據以往時間段的訪問人數統計,對網站未來幾天或者某個時間段的訪問流量進行預測。

作者:吳敏綱 黃傑恆 鄭義平 單位:景德鎮陶瓷學院信息工程學院 景德鎮市第六人民醫院 景德鎮市國稅局直屬分局

⑥ 如何判斷waf攻擊日誌是否誤判

之前寫了一篇《WAF防禦能力評測及工具》,是站在安全運維人員選型WAF產品的角度來考慮的(優先從測試角度考慮是前職業病,畢竟當過3年游戲測試!)。本篇文章從WAF產品研發的角度來YY如何實現一款可靠的WAF,靈感來自ModSecurity等,感謝開源。本片文章包括三個主題(1)WAF實現WAF包括哪些組件,這些組件如何交互來實現WAF防禦功能(2)WAF規則(策略)維護規則(策略)如何維護,包括獲取渠道,規則測試方法以及上線效果評測(3)WAF支撐WAF產品的完善需要哪些信息庫的支撐一、WAF實現WAF一句話描述,就是解析HTTP請求(協議解析模塊),規則檢測(規則模塊),做不同的防禦動作(動作模塊),並將防禦過程(日誌模塊)記錄下來。不管硬體款,軟體款,雲款,核心都是這個,而接下來圍繞這句話來YYWAF的實現。WAF的實現由五個模塊(配置模塊、協議解析模塊、規則模塊、動作模塊、錯誤處理模塊)組成1.配置模塊設置WAF的檢測粒度,按需開啟,如圖所示WAF的實現-碳基體-碳基體2.協議解析模塊(重點)協議解析的輸出就是下一個模塊規則檢測時的操作對象,解析的粒度直接影響WAF防禦效果。對於將WAF模塊寄生於web伺服器的雲WAF模式,一般依賴於web伺服器的解析能力。

⑦ web應用防火牆(WAF)的基本原理是什麼

WAF,又名Web應用防火牆,能夠對常見的網站漏洞攻擊進行防護,例如SQL注入、XSS跨站等;目前WAF最基本的防護原理為特徵規則匹配,將漏洞特徵與設備自身的特徵庫進行匹配比對,一旦命中,直接阻斷,這種方法能夠有效防範已知的安全問題,但是需要一個強大的特徵庫支持,特徵庫需要保證定期更新及維護;但是對於零日漏洞(未經公開的漏洞),就需要設備建立自學習機制,能夠根據網站的正常狀態自動學習建立流量模型,以模型為基準判斷網站是否遭受攻擊。

⑧ 什麼是網站日誌分析需要分析哪些內容

網站日誌是記錄web伺服器接收處理請求以及運行時錯誤等各種原始信息的以·log結尾的文件,確切的講,應該是伺服器日誌。網站日誌最大的意義是記錄網站運營中比如空間的運營情況,被訪問請求的記錄。

怎麼分析網站日誌?

登錄「FTP」賬號,鏈接到網站數據,找到網站日誌文件夾。(注意:一般情況下,網站日誌所在文件夾都是與網站文件同級文件夾,且帶有log字樣。只有少數情況下,網站日誌文件夾在網站根目錄下。)

打開文件夾,下載日誌壓縮文件!(下載方法很簡單,只要選中文件直接拖到電腦桌面,然後左下方的本地瀏覽下載目錄的文件上「右鍵—傳輸隊列」即可!)

解壓下載的日誌文件,而後將解壓後文件的後綴改為「txt」

新建一個excel表格,並打開!找到頂端工具欄的「數據」工具

點擊「導入數據」,默認「直接打開數據文件」,再選擇「選擇數據源」。

選中解壓後的txt文檔,並打開!

默認「其他編碼「

選擇「分隔符號」,並「下一步」;

勾選所有選項,然後「下一步」;

默認「常規」,並「完成」;

如圖,網站日誌哥數據項之間全部分隔開來;

接下來只要保留自己需要的數據項即可。刪除不需要的數據項!(如圖,僅保留了數據分析需要的訪客ip、訪問文件、訪問狀態碼以及訪客名稱四項數據。)

選中訪客名稱一整列,然後點擊「開始」欄目的「篩選」工具

點擊訪客名稱一列上方的三角下拉按鈕;

取消「全選」,找到網路蜘蛛的訪客名稱,選中並「確定」;

我們就可以得到日誌當天網路蜘蛛訪問網站的所有數據。

最後,該數據保存到網站每日分析日誌中。(注意:每日更新原創內容的網站一般在分析日誌的時候還需要保留時間數據。)

⑨ WAF是什麼設備

Web應用防護系統(也稱:網站應用級入侵防禦系統。英文:Web Application Firewall,簡稱: WAF)。利用國際上公認的一種說法:Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

應用功能
審計設備
對於系統自身安全相關的下列事件產生審計記錄:
(1)管理員登陸後進行的操作行為。
(2) 對安全策略進行添加、修改、刪除等操作行為。
(3) 對管理角色進行增加、刪除和屬性修改等操作行為。
(4) 對其他安全功能配置參數的設置或更新等行為。
訪問控制設備
用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。
架構/網路設計工具
當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
WEB應用加固工具
這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且 能夠保護WEB應用編程錯誤導致的安全隱患。
需要指出的是,並非每種被稱為Web應用防火牆的設備都同時具有以上四種功能。
同時WEB應用防火牆還具有多面性的特點。比如從網路入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火牆角度來看,WAF是一種防火牆的功能模塊;還有人把WAF看作「深度檢測防火牆」的增強。(深度檢測防火牆通常工作在的網路的第三層以及更高的層次,而Web應用防火牆則在第七層處理HTTP服務並且更好地支持它。)

特點
異常檢測協議
Web應用防火牆會對HTTP的請求進行異常檢測,拒絕不符合HTTP標準的請求。並且,它也可以只允許HTTP協議的部分選項通過,從而減少攻擊的影響范圍。甚至,一些Web應用防火牆還可以嚴格限定HTTP協議中那些過於鬆散或未被完全制定的選項。

增強的輸入驗證
增強輸入驗證,可以有效防止網頁篡改、信息泄露、木馬植入等惡意網路入侵行為。從而減小Web伺服器被攻擊的可能性。

及時補丁
修補Web安全漏洞,是Web應用開發者最頭痛的問題,沒人會知道下一秒有什麼樣的漏洞出現,會為Web應用帶來什麼樣的危害。WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。當然,這種屏蔽掉漏洞的方式不是非常完美的,並且沒有安裝對應的補丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。
(附註:及時補丁的原理可以更好的適用於基於XML的應用中,因為這些應用的通信協議都具規范性。)

基於規則的保護和基於異常的保護
基於規則的保護可以提供各種Web應用的安全規則,WAF生產商會維護這個規則庫,並時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基於合法應用數據建立模型,並以此為依據判斷應用數據的異常。但這需要對用戶企業的應用具有十分透徹的了解才可能做到,可現實中這是十分困難的一件事情。
狀態管理
WAF能夠判斷用戶是否是第一次訪問並且將請求重定向到默認登錄頁面並且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件(比如登陸失敗),並且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。
其他防護技術
WAF還有一些安全增強的功能,可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如:隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。

⑩ 部署WAF後, 採用透明代理模式, 後端的應用能獲取到客戶端埠么 真實的客戶端埠

一、WAF的定義
WAF(Web應用防火牆)是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。通俗來說就是WAF產品里集成了一定的檢測規則,會對每個請求的內容根據生成的規則進行檢測並對不符合安全規則的作出對應的防禦處理,從而保證Web應用的安全性與合法性。
二、WAF的工作原理
WAF的處理流程大致可分為四部分:預處理、規則檢測、處理模塊、日誌記錄
1. 預處理
預處理階段首先在接收到數據請求流量時會先判斷是否為HTTP/HTTPS請求,之後會查看此URL請求是否在白名單之內,如果該URL請求在白名單列表裡,直接交給後端Web伺服器進行響應處理,對於不在白名單之內的對數據包解析後進入到規則檢測部分。
2. 規則檢測
每一種WAF產品都有自己獨特的檢測規則體系,解析後的數據包會進入到檢測體系中進行規則匹配,檢查該數據請求是否符合規則,識別出惡意攻擊行為。
3. 處理模塊
針對不同的檢測結果,處理模塊會做出不同的安全防禦動作,如果符合規則則交給後端Web伺服器進行響應處理,對於不符合規則的請求會執行相關的阻斷、記錄、告警處理。
不同的WAF產品會自定義不同的攔截警告頁面,在日常滲透中我們也可以根據不同的攔截頁面來辨別出網站使用了哪款WAF產品,從而有目的性的進行WAF繞過。
4. 日誌記錄
WAF在處理的過程中也會將攔截處理的日誌記錄下來,方便用戶在後續中可以進行日誌查看分析。
三、WAF的分類
1. 軟WAF
軟體WAF安裝過程比較簡單,需要安裝到需要安全防護的web伺服器上,以純軟體的方式實現。
代表產品:安全狗,雲鎖,D盾等
2. 硬WAF
硬體WAF的價格一般比較昂貴,支持多種方式部署到Web伺服器前端,識別外部的異常流量,並進行阻斷攔截,為Web應用提供安全防護。
代表產品有:Imperva、天清WAG等
3. 雲WAF
雲WAF的維護成本低,不需要部署任何硬體設備,雲WAF的攔截規則會實時更新。對於部署了雲WAF的網站,我們發出的數據請求首先會經過雲WAF節點進行規則檢測,如果請求匹配到WAF攔截規則,則會被WAF進行攔截處理,對於正常、安全的請求則轉發到真實Web伺服器中進行響應處理。
代表產品有:阿里雲雲盾,騰訊雲WAF等
4. 自定義WAF
我們在平時的滲透測試中,更多情況下會遇到的是網站開發人員自己寫的防護規則。網站開發人員為了網站的安全,會在可能遭受攻擊的地方增加一些安全防護代碼,比如過濾敏感字元,對潛在的威脅的字元進行編碼、轉義等。
四、WAF的部署方式
1. 透明網橋
2. 反向代理
3. 鏡像流量
4. 路由代理
五、 繞WAF的多種方式
為了讓大家更清楚的理解繞WAF的方法原理,本次WAF繞過方法的介紹中會增加部分代碼示例。
註:本文的代碼示例都是在sqli-labs基礎上修改的。
正常無攔截規則的代碼:
接收用戶傳遞的參數後直接帶入資料庫中執行。為了方便查看,將查詢語句動態輸出。
1. 各種編碼繞過