⑴ 如何选择Web安全防护产品
1、是否获得OWASP Web应用防火墙认证证书
OWASP被视为Web应用安全领域的权威参考,OWASP TOP 10是IBMAPPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。能够获得OWASP的Web应用防火墙认证证书是对产品Web防护能力的高度肯定。
2、OWASP top10防御能力达到4星
在OWASP的认证测评中,TOP10是OWASP为Web安全防护能力的主要测评项,防护效果直接影响最终的评分。在国内的安全产品中,能够获得4星评分的产品屈指可数,深信服下一代防火墙名列其中。
3、特征+主动防护模式进行防护
Web攻击防护主要依靠web攻击特征的编写,而具备采用自动建模的技术的web安全防护产品可以自动学习网站的文件、目录及参数,形成白名单实现主动防御。采用特征+主动防御模式可综合抵御已知未知威胁达到最佳的防护效果。
4、Web攻击特征达到2000条以上
Web攻击特征库是决定OWASP top10威胁的主要评估依据,由于Web攻击采用逃逸的手段很多,只有充分编译各类攻击特征才能起到有效的防护效果。2000条特征是同类产品专业性的一个初级评判标准。
5、提供系统漏洞、应用漏洞攻击的防护能力
Web系统的风险包括以下几类:
系统底层漏洞(如windows、linux操作系统漏洞)
发布软件漏洞(IIS、Aapach等)
数据库中间件漏洞(oracle、sql server、my sql等漏洞)
Web应用漏洞(Web漏洞攻击)
Web安全防护产品不仅仅需要具备Web攻击防护能力,还需具备上述的系统漏洞、应用漏洞等的攻击防护的技术。
6、具备攻击效果事后处理的能力
未知威胁的不断新增,仅依靠攻击特征的方式进行安全防护永远会落后于黑客攻击的新手段。一款专业的Web安全防护产品应从黑客攻击要达到的效果出发,同时提供事后处理的技术手段。
7、应用层性能满足业务的要求
Web安全防护产品其资源消耗主要是由应用层流量检测引起。一款优秀的Web安全产品应做到软硬件的技术改良以提升应用层的性能,满足大规模Web系统集群的应用层性能的要求。
⑵ WEB应用防火墙的功能描述
WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。它集成全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。
1、事前主动防御,智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护WEB应用。
2、事中智能响应,快速P2DR建模、模糊归纳和定位攻击,阻止风险扩散,消除“安全事故”于萌芽之中。
3、事后行为审计,深度挖掘访问行为、分析攻击数据、提升应用价值,为评估安全状况提供详尽报表。
4、面向客户的应用加速,提升系统性能,改善WEB访问体验。
5、面向过程的应用控制,细化访问行为,强化应用服务能力。
6、面向服务的负载均衡,扩展服务能力,适应业务规模的快速壮大。
⑶ 针对web应用存在哪些安全威胁提出相应的安全防护措施
应用安全防护解决思路:应用安全问题本质上源于软件质量问题。但应用相较传统的软件,具有其独特性。应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为开发比较简单,缺乏经验的开发者也可以胜任。针对应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。针对这种现状,专业的安全防护工具是一种合理的选择。应用防火墙(以下简称)正是这类专业工具,提供了一种安全运维控制手段:基于对流量的双向分析,为应用提供实时的防护。与传统防火墙设备相比较,最显着的技术差异性体现在:对有本质的理解:能完整地解析,包括报文头部、参数及载荷。支持各种编码(如、压缩);提供严格的协议验证;提供限制;支持各类字符集编码;具备过滤能力。提供应用层规则:应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。提供专用的应用层规则,且具备检测变形攻击的能力,如检测加密流量中混杂的攻击。提供正向安全模型(白名单):仅允许已知有效的输入通过,为应用提供了一个外部的输入验证机制,安全性更为可靠。提供会话防护机制:协议最大的弊端在于缺乏一个可靠的会话管理机制。为此进行有效补充,防护基于会话的攻击类型,如篡改及会话劫持攻击。如何正确选择并非对服务器提供保护的“盒子”都是。事实上,一个真正满足需求的应该具有二维的防护体系:纵向提供纵深防御:通过建立协议层次、信息流向等纵向结构层次,构筑多种有效防御措施阻止攻击并发出告警。横向:满足合规要求;缓解各类安全威胁(包括网络层面、基础架构及应用层面);降低服务响应时间、显着改善终端用户体验,优化业务资源和提高应用系统敏捷性。在选择产品时,建议参考以下步骤:结合业务需求明确安全策略目标,从而定义清楚产品必须具备的控制能力评估每一家厂商产品可以覆盖的风险类型测试产品功能、性能及可伸缩性评估厂商的技术支持能力评估内部维护团队是否具备维护、管理产品的必需技能权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品服务产生的直接支出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销
⑷ web应用防火墙(WAF)的基本原理是什么
WAF,又名Web应用防火墙,能够对常见的网站漏洞攻击进行防护,例如SQL注入、XSS跨站等;目前WAF最基本的防护原理为特征规则匹配,将漏洞特征与设备自身的特征库进行匹配比对,一旦命中,直接阻断,这种方法能够有效防范已知的安全问题,但是需要一个强大的特征库支持,特征库需要保证定期更新及维护;但是对于零日漏洞(未经公开的漏洞),就需要设备建立自学习机制,能够根据网站的正常状态自动学习建立流量模型,以模型为基准判断网站是否遭受攻击。
⑸ web应用防火墙都有哪些作用
模糊归纳和定位攻击、事前主动防御,细化访问行为。 5,为评估安全状况提供详尽报表、应用交付于一体的WEB整体安全防护设备、面向服务的负载均衡、分析攻击数据、面向过程的应用控制,消除“安全事故”于萌芽之中、事后行为审计。 2、阻断应用攻击,改善WEB访问体验,扩展服务能力,快速P2DR建模、网页保护,适应业务规模的快速壮大、防范网页篡改,全方位保护WEB应用,深度挖掘访问行为,保障用户核心应用与业务持续稳定的运行,智能分析应用缺陷、负载均衡,强化应用服务能力、提升应用价值WEB应用防火墙是集WEB防护。 3。 4。 部署图示 1、屏蔽恶意请求。 6。它集成全新的安全理念与先进的创新架构,阻止风险扩散、事中智能响应,提升系统性能、面向客户的应用加速
⑹ web攻击有哪些怎么防护
1、DoS和DDoS攻击(DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击)
防范:(1) 反欺骗:对数据包的地址及端口的正确性进行验证,同时进行反向探测。(2) 协议栈行为模式分析:每个数据包类型需要符合RFC规定,这就好像每个数据包都要有完整规范的着装,只要不符合规范,就自动识别并将其过滤掉。(3) 特定应用防护:非法流量总是有一些特定特征的,这就好比即便你混进了顾客群中,但你的行为还是会暴露出你的动机,比如老重复问店员同一个问题,老做同样的动作,这样你仍然还是会被发现的。(4) 带宽控制:真实的访问数据过大时,可以限制其最大输出的流量,以减少下游网络系统的压力。
2、CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击。
防范:(1) 验证码。应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段,在关键业务点设置验证码。(2) Referer Check。HTTP Referer是header的一部分,当浏览器向web服务器发送请求时,一般会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面,来判断是不是CSRF攻击。但在某些情况下如从https跳转到http,浏览器处于安全考虑,不会发送referer,服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。出于以上原因,无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。(3) Anti CSRF Token。目前比较完善的解决方案是加入Anti-CSRF-Token,即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token,并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。否则认为这次请求是违法的,拒绝该次服务。这种方法相比Referer检查要安全很多,token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。由于token的存在,攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。
3、XSS(Cross Site Scripting),跨站脚本攻击。为和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做“XSS”。
防范:(1) 输入过滤。永远不要相信用户的输入,对用户输入的数据做一定的过滤。如输入的数据是否符合预期的格式,比如日期格式,Email格式,电话号码格式等等。这样可以初步对XSS漏洞进行防御。上面的措施只在web端做了限制,攻击者通抓包工具如Fiddler还是可以绕过前端输入的限制,修改请求注入攻击脚本。因此,后台服务器需要在接收到用户输入的数据后,对特殊危险字符进行过滤或者转义处理,然后再存储到数据库中。(2) 输出编码。服务器端输出到浏览器的数据,可以使用系统的安全函数来进行编码或转义来防范XSS攻击。在PHP中,有htmlentities()和htmlspecialchars()两个函数可以满足安全要求。相应的JavaScript的编码方式可以使用JavascriptEncode。(3) 安全编码。开发需尽量避免Web客户端文档重写、重定向或其他敏感操作,同时要避免使用客户端数据,这些操作需尽量在服务器端使用动态页面来实现。(4) HttpOnly Cookie。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。(5)WAF(Web Application Firewall),Web应用防火墙,主要的功能是防范诸如网页木马、XSS以及CSRF等常见的Web漏洞攻击。由第三方公司开发,在企业环境中深受欢迎。
4、SQL注入(SQL Injection),应用程序在向后台数据库传递SQL(Structured Query Language,结构化查询语言)时,攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防范:(1) 防止系统敏感信息泄露。设置php.ini选项display_errors=off,防止php脚本出错之后,在web页面输出敏感信息错误,让攻击者有机可乘。(2) 数据转义。设置php.ini选项magic_quotes_gpc=on,它会将提交的变量中所有的’(单引号),”(双引号),\(反斜杠),空白字符等都在前面自动加上\。或者采用mysql_real_escape()函数或addslashes()函数进行输入参数的转义。(3) 增加黑名单或者白名单验证。白名单验证一般指,检查用户输入是否是符合预期的类型、长度、数值范围或者其他格式标准。黑名单验证是指,若在用户输入中,包含明显的恶意内容则拒绝该条用户请求。在使用白名单验证时,一般会配合黑名单验证。
5、上传漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。该漏洞允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。
防范: (1)检查服务器是否判断了上传文件类型及后缀。 (2) 定义上传文件类型白名单,即只允许白名单里面类型的文件上传。 (3) 文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击。 Info漏洞 Info漏洞就是CGI把输入的参数原样输出到页面,攻击者通过修改输入参数而达到欺骗用户的目的。
⑺ 在web入口添加哪些设备有利于防护黑客入侵
Web应用防火墙(WAF)、入侵检测系统(IDS)
⑻ WAF是什么设备
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
应用功能
审计设备
对于系统自身安全相关的下列事件产生审计记录:
(1)管理员登陆后进行的操作行为。
(2) 对安全策略进行添加、修改、删除等操作行为。
(3) 对管理角色进行增加、删除和属性修改等操作行为。
(4) 对其他安全功能配置参数的设置或更新等行为。
访问控制设备
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
架构/网络设计工具
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
WEB应用加固工具
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。