Web应用防火墙 (WAF) 挡不住的攻击类型
一、网站应用防火墙介绍
网站应用防火墙系统就是我们通常称的WAF,WAF的主要功能包括:对访问请求进行控制,可以主动识别、阻断攻击流量,通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
二、应用防火墙“无力抵挡”的攻击类型
WAF在减缓黑客攻击方面起了一定作用,但同时WAF也存在较大的局限性,文章将从以下三个方面进行说明:
首先,WAF存在一定“被绕过”几率。WAF对HTTP(S)协议进行自行解析,可能存在与web服务器对HTTP(S)请求的理解不一致的问题,从而发生“被绕过”的情况。
其次,WAF的防御往往滞后于黑客的攻击,无法对新型的攻击进行有效的识别和阻断。目前市面上大多数的WAF都是基于规则匹配的,即WAF对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个为恶意代码,从而对其进行阻断,显而易见规则的更新往往是滞后于攻击发生的。
最后,WAF对于逻辑漏洞的防御总是捉襟见肘。WAF对攻击的识别来自于已经设定好的规则库,对于看似“正常”的业务逻辑漏洞却无能为力,比如:
越权操作:入侵者可以用低权限账号登陆系统后,通过拦截并修改用户参数,以达到查看或者修改其它权限账号的目的。
任意用户密码重置:通常发生在忘记密码的时候,由于系统没有严格设置用户忘记密码时的验证方式,入侵者可以通过拦截并修改用户参数,达到重置任意用户密码的目的。
未授权访问:有些业务的接口,因为缺少了对用户登陆凭证的校验或者是验证存在缺陷,导致入侵者可以未经授权访问这些敏感信息甚至是越权操作。例如某程序后台主页面,直接在管理员web路径后面输入main.php等类似后缀即可进入后台,无需验证。
找回密码存在设计缺陷:通过邮箱找回密码时需要访问链接重置密码,用户输入新密码后入侵者可以对提交的内容进行抓包,抓包后可以直接修改用户ID进而修改密码;通过手机号找回密码时,入侵者可以拦截数据包并将用户手机号替换为自己的手机号并获取验证码,提交后可以进行修改密码等操作。
任意修改:有些教务类管理系统存在任意修改漏洞的问题。授权用户录入成绩后可以利用提交按钮不可用漏洞来抓取数据包或者直接修改前端代码,对成绩进行任意修改后再次提交。
弱口令漏洞/默认口令:admin、manager、admin123、admin888、admin666、123456、666666、888888、1qaz2wsx等。
三、网络安全防御体系如何建设
网络与信息安全建设是一个系统性的工作,绝非仅仅部署WAF就可以解决,需要建设一个立体的防护体系。从日常网络安全防护实践来看,至少应做好以下五个方面的工作:
第一,要做好基础安全保障工作,这是开展网络与信息安全的重要基础,可以有效地处理绝大多数非法攻击。其中比较重要的是在信息系统建设过程中遵循“三同步”原则,在网络安全建设过程中做到同步规划、同步实施、同步运营,即在对新建/改建/扩容业务系统规划的环节就明确安全要求,包括业务安全要求和设备安全要求,除了明确对通用业务的安全要求,在新技术新业务规范中同步增加安全要求;在系统开发与测试阶段要加强系统入网安全检测环节,在项目实施期间进行安全监管,确保只有符合安全要求的系统才能上线;在完成入网部署和上线之后,安全监控、安全维护、安全应急三管齐下,通过日常安全运维,维持系统安全防护水平,同时加强版本迭代的入网安全管理,进一步促进各岗位人员安全意识的提高。
第二,做好安全管理工作是建立网络与信息安全体系的一项有力保障。只有建立了立体有效的网络与信息安全管理体系,将职责明确划分、将责任落实到位、将奖惩清晰告知,才能充分落实各项安全管理工作,确保安全管理工作稳步开展。
第三是完善安全策略。所有的设备防护和安全管理都是基于一定策略的,策略过紧则防范工作量剧增且不利于正常开展信息化工作,策略过松则相当于不设防,起不到相应的作用,因此,各单位需根据具体情况制定相应的策略,这是安全工作的重要环节之一。
第四是落实好安全检查工作。安全检查是安全管理中的一个环节,但多为自查。安全检查不应该仅仅局限于自查,也不应该局限于单一的手段,应该是从管理、渗透、测试等多方面开展,目的是及时发现存在的问题并加以纠正。
第五是做好应急处置演练。网络与信息安全工作是攻与防的对抗,是矛与盾的竞争,在这场竞赛中会随着技术不断进步产生新的方法,因此也就可能导致安全事件的发生。所以必须做好应急处置预案并熟练演练,一旦发生安全事件则采取妥当应急处置措施,将危害降到最低。
文章来源: 教育网络信息安全
Web应用防火墙 (WAF) 挡不住的攻击类型相关推荐
- waf 防火墙限制_Web攻击分类有哪些?防火墙WAF可以抵御哪些攻击?
Web攻击分类有哪些?防火墙WAF可以抵御哪些攻击? Web恶意扫描 黑客攻击前多使用工具针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入.Cookie注入.XPath注入.LDAP ...
- 什么是 Web 应用防火墙(WAF)?
时下,网络攻击和针对网站的攻击与日俱增.同时,在我们的日常生活中,安全的重要性也迅速提升.因此,保证在线上世界的安全变得越来越重要.更重要的是,保护你的网站和所存储的数据的安全.所以,我们将介绍什么是 ...
- [等保测评]Web应用防火墙WAF产品汇总
WAF是Web应用防火墙(Web Application Firewall)的简称,WAF是当前对Web业务进行防护的一种比较常用且有效的手段之一,目前市场上的WAF产品也相对比较成熟,为了提高Web ...
- 腾讯云web应用防火墙(WAF)防护设置步骤介绍
腾讯云web应用防火墙(WAF)防护设置步骤介绍 最近有很多朋友问腾讯云web应用防火墙(WAF)防护设置怎么操作?小编赵一八笔记特意从腾讯云官网整理相关资料,希望能够帮到大家. 对需要防护网站点击& ...
- Web应用防火墙(WAF:Web Application Firewall)简介
了解WAF 1.1 什么是WAF Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入.XSS跨站脚本.常见Web服务器插件漏洞 ...
- Web应用防火墙WAF简介
本文将对Web应用防火墙(WAF)做一个简单介绍,主要会讨论下面几个主题: WAF预防的攻击类型 WAF部署方式 WAF安全模式 开放Web应用安全项目(OWASP) WAF和DDos WAF测试 W ...
- 网络防御系统之WEB应用防火墙-WAF概念和功能介绍
一.WAF产生的背景 随着B/S架构的广泛应用,WEB应用的功能越来越丰富,也就意味着蕴含着越来越有价值的信息.于是WEB应用成为了黑客主要的攻击目标(第五层应用层).传统防火墙无法解析HTTP应用层 ...
- web应用防火墙(WAF)的安全原理与技术分析
Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护.SQL注入.XML注入.XSS等.由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙.这里之所以叫 ...
- [转]Web应用防火墙WAF详解
通过nginx配置文件抵御攻击 0x00 前言 大家好,我们是OpenCDN团队的Twwy.这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果. 其实很多时候,各种防攻击的思路我们都明 ...
最新文章
- SRX 透明模式配置
- 关于耳机的国标和美标的区分
- db4o, 看上去很美
- placeholder的兼容处理方法
- JAVA进阶教学之(foreach)
- 【OpenCV】入门学习资料汇总
- 用java编写的一个迪杰斯特拉算法(单源最短路径算法,Dijkstra算法)。
- Linux PPP实现源码分析-2
- server2005系统表知多少 之sysdatabases
- kali linux操作系统
- SQL前三章知识点测试
- 计算机网络实验指导书 pdf,《计算机网络》实验指导书.pdf
- 6.ring3-ImportREC重建输入表
- spa计算机技术,Spathis, Promethee
- ogg文件封装格式简介
- 利用canvas画一个钟表
- 基于高德地图的交通数据分析
- excel:超链接应用,快速生成目录的几个方法
- ASP.NET 设计导航栏(横向竖向)
- python 自动点赞_python实现在有漏洞的网站实现自动注册、登录、点赞