不止防JSON技术绕过,RASP相比WAF的七大技术优势
近日,“五大厂商热门WAF可遭JSON技术绕过”的话题在业内传得沸沸扬扬,事件大致情况为,五家领先供应商销售的Web应用防火墙 (WAF) 在检查SQL注入语法中不支持JSON语法的检查,可被轻松绕过。
据事件透露的情况来看,有一个恶意的SQLi有效负载,包含JSON语法,WAF并没有将请求标记为恶意请求并进行拦截。可见,只需在请求的开头加上简单的JSON语法,就能够在云上使用SQLi 漏洞泄露敏感信息。换句话说,SQL注入可通过JSON格式特殊字符的转义后轻松绕过WAF从而攻击业务系统。
“安全门卫”WAF
Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。WAF的基本原理是利用服务器API去获取应用层数据,然后匹配自己的规则库,利用正则表达式来分析判断数据的合法性,生成白名单、黑名单,最后进行访问控制。
WAF的优点是可以进行流量告警,WAF通常的安装方式是将WAF串行部署在Web服务器前端,用于检测、阻断异常流量,对全流量进行分析。
但是WAF的缺点更让企业头痛,易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。除了开篇提到的WAF被绕过的案例,WAF的绕过手段还有很多,比如:
大小写:诸如UnIOn SeleCT
特殊符号:奇奇怪怪的符号,甚至是表情符号
注释符号:/**/、#、/*!select*/等等…
知道了WAF的基本原理也就很好理解WAF为什么容易被绕过,因为WAF的防护需要匹配自己的规则库,而攻击者只需要通过一些简单的变形,就可轻松绕过WAF的规则库。同时WAF进行全流量的检测,经常会把正常流量误认为恶意流量进行误报,影响正常业务。那么现在市场上有没有新的技术可以解决WAF的困境?近两年兴起了一项新技术,“Runtime application self-protection”,让应用程序通过实时识别和阻止攻击来保护自己,即运行时应用程序自我保护技术,简称RASP。
“贴身保镖”RASP
2014年,Gartner引入了“Runtime application self-protection”一词,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。
RASP通过在应用程序的字节码中动态插桩检测“探针”,来获取应用程序各种运行时的上下文信息,在应用程序运行时,利用当前上下文信息实时保护应用。
将WAF和RASP进行对比,WAF很像一个门卫,而RASP相当于应用程序的贴身保镖,深处应用程序内部,无论攻击怎么变形,在最后实施攻击时,RASP就会实时监测进行防护。任你千路来,我只一路去。
例如SQL注入,无论是前端页面输入的SQL注入,还是JSON数据格式转换变形后的SQL注入,只要最后的查询语句存在注入攻击,RASP会在应用程序代码层级进行最后防护并阻断请求,将检测到的攻击事件展示在RASP管理后台,支持攻击事件的多维度展示:可以提供代码、HTTP请求、数据流、URL等问题点信息,同时提供定位、修复和建议。
开源网安RASP的优势
开源网安实时应用自我防护平台(RASP),采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。针对互联网企业和分布式应用项目,RASP平台的部署效率与防护效果更加明显,其优势如下:
准确率高:RASP技术是以探针的形式插桩在应用程序字节码中,获取程序运行时上下文信息进行组合,所以基本不存在绕过漏报的可能;
误报率低:RASP可以明确知道攻击和合法信息请求之间的区别,这使得RASP的误报率极低,不会影响正常业务运行;
维护成本低:RASP的技术特征是深处应用内部,无感知自动保护应用程,所以多数情况下只需初始的安装部署及防御策略的配置,无需额外的人工干预;
智能应对0Day攻击:可以在几秒钟内快速创建和部署虚拟补丁,在数小时内将保护标准化为0day防御方案;
常见攻击检测:支持多种攻击检测与展示,其中包括逻辑漏洞攻击、内容防护、IP黑白名单、Webshell防护等;
灵活度高:适用不同的个性化业务场景,根据企业的业务需求可制定自己的防护策略;
多维度防护手段:多种攻击检测、应用加固、安全基线检查、第三方库检测等。
不止防JSON技术绕过,RASP相比WAF的七大技术优势相关推荐
- java防护webshell_JNI技术绕过rasp防护实现jsp webshell
背景 想到rasp这类工具是基于java.php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过.java技术栈中的jni的原理是使用java调用c.c++函数,具体实现的思路是jsp编译 ...
- rasp 系统_RASP相关的技术实现和产品介绍
介绍 自从2014年Gartner将RASP列为应用领域的关键趋势后,互联网企业愈来认识到其是在边界模糊后的一种稳健的解决方案.列位读者首先需要认识到RASP和WAF并不是同一纬度的产品," ...
- 【sql绕过】Bypass waf notepad of def
文章是通过阅读<[独家连载]我的WafBypass之道 (SQL注入篇)>写的阅读笔记. Waf的类型 1.云waf 云waf通常是CDN包含的waf,DNS在解析的时候要解析到cdn上面 ...
- 文件上传绕过安全狗WAF实战
今天继续给大家介绍渗透测试相关知识,本文主要是文件上传绕过安全狗WAF实战. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未 ...
- rasp java tomcat_Java安全之JNI绕过RASP
Java安全之JNI绕过RASP 0x00 前言 前面一直想看该JNI的相关内容,但是发现JNI的资料还是偏少.后面发现JNI在安全中应用非常的微妙,有意思. 0x01 JNI概述 JNI的全称叫做( ...
- 国产LoRa技术?ZETA相比LoRa有哪些优势?
提及低功耗广域物联网技术(LPWAN),LoRa是绕不开的一个话题.LoRa技术的最大特点就是在同样的功耗条件下比其他无线方式传播的距离更远,实现了低功耗和远距离的统一,它在同样的功耗下比传统的无线射 ...
- XSS绕过安全狗WAF
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS绕过安全狗WAF. 一.测试环境搭建 我们使用Vmware虚拟机搭建靶场环境.在Vmware虚拟机上,安装有PHPStudy,如下所示: 然后安 ...
- 不止安企,芯片巨头同样紧盯机器识图技术
目前,计算机视觉依旧处于开发的早期阶段,部分创业型公司一旦在相关技术点上有所突破,其成就也显而易见.被ARM相中的英国创业型Apical,即掌握着先进的成像技术,这一技术已被广泛应用于智能手机.安防摄 ...
- 欲知己之所防,先知彼之所攻——论Hook 技术的攻防对抗
矛盾的同一性与斗争性原理几乎适用于所有攻防对抗. 上期,我们在<当硬件属性不再作为设备指纹的标识,我们该如何保证设备指纹的唯一性>一文中曾介绍了硬件ID 作为设备指纹的基础属性的发展演变- ...
最新文章
- 在图像生成领域里,GAN这一大家族是如何生根发芽的
- SQL Server的链接服务器技术小结
- 贡献思想 + 数论 + 思维(例题 Problem J. Prime Game)
- python怎么把图片压缩_使用Python轻松批量压缩图片
- 温控窗帘系统制作文档
- ubuntu配置GDB
- CRM Document history DB table
- 【牛客 - 696C】小w的禁忌与小G的长诗(dp 或 推公式容斥)
- 如何评估深度学习模型效果?阿里工程师这么做 1
- js数组去重的四种方式
- 切换python执行版本
- 近期code(11.16)
- 20165230 2017-2018-2 《Java程序设计》第8周学习总结
- OneGame V1.0 发布,开源免费页游联运系统
- RouteOS 频繁自启
- C# 在word文档中寻找指定的关键字
- php用哪个ui框架好,常用的前端UI框架有哪些
- 卡巴斯基企业版本杀毒软件防火墙,支持windows服务器系统安装
- gitlab推送钉钉机器人配置
- 福州三中 计算机竞赛,福建福州三中喜获信息学竞赛NOIP2020全省人数第1!总计35人获奖...
热门文章
- PnL Explained FAQ
- PubWin不知道密码情况下卸载
- 关于log4j:WARN No appenders could be found for logger (org.apache.hadoop.metrics2.lib.MutableMetricsFa
- Linux下根据关键字搜索最后一条日志
- 处理python SyntaxError: (unicode error) 'unicodeescape' codec can't decode bytes in position 2-3: trun
- Mac升级gcc详解
- 线性代数(五)特征值和特征向量
- 值得反复研读的表连接之CARTESIAN JOIN方式
- hapi mysql项目实战路由初始化_hapi框架搭建记录(二):路由改造和生成接口文档...
- 掌上聊app v1.5.5