發(fā)布者:售前苒苒 |
本文章發(fā)表于:2023-05-09
現(xiàn)在越來越經(jīng)常聽說Waf應(yīng)用防火墻,那么Waf應(yīng)用防火墻是什么呢�,快快網(wǎng)絡(luò)苒苒來給大家講解一下。Web 應(yīng)用防護(hù)系統(tǒng)(也稱為:網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)����。英文:Web Application Firewall,簡(jiǎn)稱: WAF)����。利用國(guó)際上公認(rèn)的一種說法:Web 應(yīng)用防火墻是通過執(zhí)行一系列針對(duì) HTTP/HTTPS 的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。那么WAF可以防御哪些攻擊����?
WAF可以防御哪些攻擊?比如 SQL 注入�,跨站腳本漏洞(XSS)等。WAF也能夠監(jiān)測(cè)并過濾掉某些可能讓應(yīng)用遭受 DOS(拒絕服務(wù))攻擊的流量���。WAF會(huì)在 HTTP 流量抵達(dá)應(yīng)用服務(wù)器之前檢測(cè)可疑訪問����,同時(shí)����,它們也能防止從Web應(yīng)用獲取某些未經(jīng)授權(quán)的數(shù)據(jù)。
其中幾種比較常見的攻擊類型如下:
1�、跨站腳本漏洞(XSS)
攻擊者通過往 Web 頁面里插入惡意 Script 代碼,當(dāng)用戶瀏覽該頁面時(shí)���,嵌入在 Web 頁面里的 Script 代碼會(huì)被執(zhí)行��,從而達(dá)到惡意攻擊用戶的目的���。
XSS 大概分為兩類:
反射型攻擊。惡意代碼并沒有保存在目標(biāo)網(wǎng)站�����,通過引誘用戶點(diǎn)擊一個(gè)鏈接到目標(biāo)網(wǎng)站的惡意鏈接來實(shí)施攻擊���。
存儲(chǔ)型攻擊�����。惡意代碼被保存到目標(biāo)網(wǎng)站的服務(wù)器中����,這種攻擊具有較強(qiáng)的穩(wěn)定性和持久性,比較常見的場(chǎng)景是在博客��,論壇等社交網(wǎng)站上����。
XSS 攻擊能夠:
獲取用戶 Cookie,將用戶 Cookie 發(fā)送回黑客服務(wù)器�。
獲取用戶的非公開數(shù)據(jù),比如郵件���、客戶資料���、聯(lián)系人等。
2�、SQL 注入
通過在目標(biāo)數(shù)據(jù)庫執(zhí)行可疑 SQL 代碼,以達(dá)到控制 Web 應(yīng)用數(shù)據(jù)庫服務(wù)器或者獲取非法數(shù)據(jù)的目的�。SQL 注入攻擊可以用來未經(jīng)授權(quán)訪問用戶的敏感數(shù)據(jù),比如客戶信息�、個(gè)人數(shù)據(jù)、商業(yè)機(jī)密�、知識(shí)產(chǎn)權(quán)等。
SQL 注入攻擊是最古老���,最流行��,最危險(xiǎn)的 Web 應(yīng)用程序漏洞之一����。比如查詢?id=1��,如果不對(duì)輸入的 id 值 1 做檢查����,可以被注入?id=1 or 1=1 從而得到所有數(shù)據(jù)。
SQL 注入的產(chǎn)生原因通常表現(xiàn)在以下幾方面:
不當(dāng)?shù)念愋吞幚怼?/span>
不安全的數(shù)據(jù)庫配置����。
不合理的查詢集處理。
不當(dāng)?shù)腻e(cuò)誤處理��。
轉(zhuǎn)義字符處理不合適�����。
多個(gè)提交處理不當(dāng)��。
3���、Cookie 篡改
Cookie 篡改是攻擊者通過修改用戶 Cookie 獲得用戶未授權(quán)信息�,進(jìn)而盜用身份的過程。攻擊者可能使用此信息打開新賬號(hào)或者獲取用戶已存在賬號(hào)的訪問權(quán)限����。
很多 Web 應(yīng)用都會(huì)使用 Cookie 保存用戶的 Session 信息,當(dāng)用戶使用 Cookie 訪問該應(yīng)用時(shí)�,Web 應(yīng)用能夠識(shí)別用戶身份,監(jiān)控用戶行為并提供個(gè)性化的服務(wù)����。而如果 Cookie 的使用缺乏安全機(jī)制的話,也很容易被人篡改和盜用����,并被攻擊者用來獲取用戶的隱私信息。
4�����、未經(jīng)驗(yàn)證的輸入
Web 應(yīng)用往往會(huì)依據(jù) HTTP 的輸入來觸發(fā)相應(yīng)的執(zhí)行邏輯�����。而攻擊者則很容易對(duì) HTTP 的任何部分做篡改�����,比如 URL 地址、URL 請(qǐng)求參數(shù)���、HTTP 頭�����、Cookies 等,以達(dá)到攻破 Web 應(yīng)用安全策略的目的��。
5�、網(wǎng)頁信息檢索(Web scraping)
通過一些工具來獲取網(wǎng)頁內(nèi)容,并從中提煉出有用的網(wǎng)站數(shù)據(jù)信息��。
WAF 和 DDos
DDos 的全稱是 Distributed Denial of service���。主要依靠一組計(jì)算機(jī)來發(fā)起對(duì)一個(gè)單一的目標(biāo)系統(tǒng)的請(qǐng)求���,從而造成目標(biāo)系統(tǒng)資源耗盡而拒絕正常的請(qǐng)求。
根據(jù) OSI的7 層網(wǎng)絡(luò)模型�,網(wǎng)絡(luò)可以從上到下分為:
第七層:應(yīng)用層,SMTP���,HTTP���,DNS 等各種協(xié)議����。
第六層:表示層��,信息的語法語義以及他們的關(guān)聯(lián)�����,如加密解密���,壓縮解壓縮�����。
第五層:會(huì)話層�,建立和維持連接�����,��。
第四層:傳輸層,TCP��,UDP���。
第三層:網(wǎng)絡(luò)層�����,IP 和路由����。
第二層:數(shù)據(jù)鏈路層��,MAC 地址���。
第一層:物理層,基于光纖的信號(hào)���。
根據(jù) OSI 網(wǎng)絡(luò)模型�,最常見的 DDos 有三類��,第三層(網(wǎng)絡(luò)層)DDos�、第四層(傳輸層)DDos 和第七層(應(yīng)用層)DDos。
第三層 DDOs,基于 IP 的攻擊�。IP 數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí),數(shù)據(jù)包可以分成更小的片段�����。到達(dá)目的地后再進(jìn)行合并重裝��。在實(shí)現(xiàn)分段重新組裝的進(jìn)程中存在漏洞����,缺乏必要的檢查。利用 IP 報(bào)文分片后重組的重疊現(xiàn)象攻擊服務(wù)器��,進(jìn)而引起服務(wù)器內(nèi)核崩潰。
第四層 DDos,基于 TCP 的攻擊�。SYN Flood 攻擊的過程在 TCP 協(xié)議中被稱為三次握手(Three-way Handshake)�����,而 SYN Flood 拒絕服務(wù)攻擊就是通過三次握手而實(shí)現(xiàn)的�。TCP 連接的三次握手中�,假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN 報(bào)文后突然死機(jī)或掉線,那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無法收到客戶端的 ACK 報(bào)文的(第三次握手無法完成)���,這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送 SYN+ACK 給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接��。服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源����。
第七層 DDos,基于應(yīng)用層的攻擊���?��;趹?yīng)用層的 DDos 攻擊會(huì)更復(fù)雜,處理起來更棘手�。這類攻擊往往會(huì)模仿用戶和 Web 應(yīng)用之間的交互行為,增加判斷的難度���。
WAF 主要處理第七層 DDos 攻擊,它在處理第七層 DDos 攻擊時(shí)會(huì)比其它防護(hù)手段更高效一些�。WAF 會(huì)對(duì) HTTP 流量做詳細(xì)的分析,這樣 WAF 就能針對(duì)正常的訪問請(qǐng)求進(jìn)行建模��,然后使用這些模型來區(qū)分正常的請(qǐng)求和攻擊者使用機(jī)器人或者腳本觸發(fā)的請(qǐng)求��。
WAF 和傳統(tǒng)防火墻的區(qū)別
傳統(tǒng)防火墻主要用來保護(hù)服務(wù)器之間傳輸?shù)男畔?����,?WAF 則主要針對(duì) Web 應(yīng)用程序。網(wǎng)絡(luò)防火墻和 WAF 工作在 OSI7 層網(wǎng)絡(luò)模型的不同層�����,相互之間互補(bǔ)���,往往能搭配使用���。
網(wǎng)絡(luò)防火墻工作在網(wǎng)絡(luò)層和傳輸層,它們沒有辦法理解 HTTP 數(shù)據(jù)內(nèi)容��,而這個(gè)正式 WAF 所擅長(zhǎng)的���。網(wǎng)絡(luò)防火墻一般只能決定用來響應(yīng) HTTP 請(qǐng)求的服務(wù)器端口是開還是關(guān)�,沒辦法實(shí)施更高級(jí)的���、和數(shù)據(jù)內(nèi)容相關(guān)的安全防護(hù)��。
總而言之���,WAF 是 Web 應(yīng)用不可缺少的基礎(chǔ)安全組件之一����,WAF可以防御哪些攻擊�����?能幫助我們預(yù)防一些常見的攻擊手段��,我們很難有理由拒絕使用WAF服務(wù)���。
云安全相關(guān)活動(dòng)
最新活動(dòng)
閩公網(wǎng)安備 35020302000839號(hào)