什么是WAF防护?
来源:互联网 发布:软件开发计划书 编辑:程序博客网 时间:2024/05/01 23:20
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。
SQL注入攻击(SQL Injection),
简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
如何预防SQL注入
也许你会说攻击者要知道数据库结构的信息才能实施SQL注入攻击。确实如此,但没人能保证攻击者一定拿不到这些信息,一旦他们拿到了,数据库就存在泄露的危险。如果你在用开放源代码的软件包来访问数据库,比如论坛程序,攻击者就很容易得到相关的代码。如果这些代码设计不良的话,风险就更大了。目前Discuz、phpwind、phpcms等这些流行的开源程序都有被SQL注入攻击的先例。
这些攻击总是发生在安全性不高的代码上。所以,永远不要信任外界输入的数据,特别是来自于用户的数据,包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样,就算是正常的查询也有可能造成灾难。
SQL注入攻击的危害这么大,那么该如何来防治呢?下面这些建议或许对防治SQL注入有一定的帮助。
1、严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害。
2、检查输入的数据是否具有所期望的数据格式,严格限制变量的类型,例如使用regexp包进行一些匹配处理,或者使用strconv包对字符串转化成其他基本类型的数据进行判断。
3、对进入数据库的特殊字符('"\尖括号&*;等)进行转义处理,或编码转换。Go 的text/template包里面的HTMLEscapeString函数可以对字符串进行转义处理。
4、所有的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query,或者Exec(query string, args ...interface{})。
5、在应用发布之前建议使用专业的SQL注入检测工具进行检测,以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具,例如sqlmap、SQLninja等。
避免网站打印出SQL错误信息,比如类型错误、字段不匹配等,把代码里的SQL语句暴露出来,以防止攻击者利用这些错误信息进行SQL注入。
XSS攻击
永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。
CSRF攻击
严格意义上来说,CSRF 不能分类为注入攻击,因为 CSRF 的实现途径远远不止 XSS 注入这一条。通过 XSS 来实现 CSRF 易如反掌,但对于设计不佳的网站,一条正常的链接都能造成 CSRF。
恶意爬虫
传统网络爬虫从一个或若干个初始网页的URL(Universal Resource Locator统一资源定位符)开始,获得初始网页上的URL,在抓取网页的过程中,不断从当前页面上抽取新的URL放入队列,直到满足系统的一定条件停止抓取。现阶段网络爬虫已发展为涵盖网页数据抽取、机器学习、数据挖掘、语义理解等多种方法综合应用的智能工具。
1)搜索目录列表
2)搜索测试页面、手册文档、样本程序及可能存在的缺陷程序
3)搜索管理员登录页面
4)搜索互联网用户的个人资料
扫描器
远程文件包含
文件包含漏洞可能出现在JSP、PHP、ASP等语言中,原理都是一样的
DDoS攻击与CC攻击的区别
1.CC攻击来的IP都是真实的,分散的;
2.CC攻击的数据包都是正常的数据包;
3.CC攻击的请求,全都是有效的请求,无法拒绝的请求;
4.因为cc攻击的是网页,服务器什么都可以连接,ping也没问题,但是网页就是访问不了;
5.但是iis一开服务器一会就死,而且被攻击后就老丢包。不知道是不是cc攻击,syn 攻击频率才78ack攻击频率663.
两者区别:
DDoS是针对IP的攻击,而CC攻击的是网页。
防范措施:
目前网络安全界对于DDoS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,在所有的防御措施中硬件安防设施(硬件防火墙)是最有效的,但是硬件防火墙也不是说能杜绝一切攻击,也仅仅能起到降低攻击级别的效果,DDoS攻击只能被减弱,无法被彻底消除。
CC不像DDoS可以用硬件防火墙来过滤攻击,CC攻击本身的请求就是正常的请求,硬件防火墙对他起不到很好的防御效果。如果容易被CC攻击,建议提前安装软防。
- 什么是WAF防护?
- WAF-Web应用防护系统
- 让 Nginx 支持 WAF 防护功能实战
- 关于WAF防护CSRF的token机制问题理解
- nginx + lua 构建网站防护waf(一)
- IPS(入侵防护系统)与WAF(Web应用防护系统)的区别
- waf
- 什么是目录遍历攻击及如何防护
- DDos防护系列之1--什么是DDos?
- ESAPI WAF
- IronBee WAF
- varnish waf
- WAF防火墙
- Waf 基本功能
- 绕WAF
- WAF SWG
- Waf 基本功能
- 流行框架-WAF
- (淘宝无限适配)手机端rem布局详解
- LeetCode之326 Power of Three
- 宿主机程序访问虚拟机HDFS
- Linux终端下nmon监控工具
- 网管的自我修养-工具准备
- 什么是WAF防护?
- 6.6 为Cookie服务的首部字段
- 安装kali linux遇到的问题总结
- URLClassLoader入门使用
- Get frame image from video
- Deep Learning回顾之基于深度学习的目标检测
- 欢迎使用CSDN-markdown编辑器
- java里char为什么能够存储一个汉字
- 自定义java类加载器