Waf 基本功能
来源:互联网 发布:手机位置定位软件 编辑:程序博客网 时间:2024/04/29 11:43
一、 Web防护
1.1 网络层防护
1)DDOS攻击
2)Syn Flood
3)Ack Flood
4)Http/HttpS Flood(CC攻击)
5)慢速攻击
1.2 应用层防护和功能
1)URL黑白名单
2)HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text/xml,application/x-www-form-urlencoded)
3)注入攻击(form和URL参数,post和get)
l SQL注入防御
l LDAP注入防御
l 命令注入防护(OS命令,webshell等)
l XPath注入
l Xml/Json注入
4)XSS攻击(form和URL参数,post和get,现阶段分为三类攻击:存储式(危害大,也是一种流行方式),反射式、基于Dom的XSS)
5)目录遍历(Path Traversal)
6) form表单数据验证和表单篡改和注入(表单验证银行卡、数据、日期等)
7)认证管理和会话劫持(cookie加密:防护会话劫持,包括cookie超时)。
8)内容过滤(这儿强调上传内容过滤post form和get 参数,主要应用论坛)
9)Web服务器漏洞探测(apache版本等隐藏,站点隐藏)
10)爬虫防护(基于SRC IP,周期判断访问数,爬虫白名单除外)
11)CSRF(Cross-site request forgery)(WAF采用token方式处理能够解决)
12)篡改(包括盗链)(WAF周期爬服务器网页,进行对比验证,如果篡改发现篡改,Client访问WAF网页)
13)Web服务器漏洞扫描(模拟攻击,判断缺陷,自动配置对应规则)
14)cache加速(静态页面优化,PDF,图片等,需要周期映像)
16)错误码过滤(探测服务,及其目录结构)
17)站点转换(URL rewrite)
18)发现攻击锁定(发现攻击,锁定用户)
19)查杀毒
20)加密传输(http -> https转化,即client-waf之间通过https,waf与server之间http)。
21)URL ACL(URL匹配一些规则)。
二、 防止Web信息泄露
1) 银行卡(信用卡、借记卡)、社保卡、驾照等,采用覆盖和隐藏两种方式。
2) 敏感词过滤、Web中关键词(政治敏感词、技术关键词等)
3) 防止文件泄露(word、pdf等扩展文件及其关键词),Web服务器上的文件。
说明:特征需要支持实时在线更新。
OSWAP Top 10 漏洞类型
- Waf 基本功能
- Waf 基本功能
- waf
- ESAPI WAF
- IronBee WAF
- varnish waf
- WAF防火墙
- 绕WAF
- WAF SWG
- ListBox基本功能
- TrojanHorse 基本功能
- Linux基本功能
- cxf基本功能
- android基本功能
- FormPanel 基本功能
- 栈基本功能
- cxf基本功能
- HttpClient基本功能
- 一句话总结java23种设计模式
- Android程序员学PHP开发(29)-ThinkPHP5.0(1)初体验-PhpStorm
- PHP+FFMPEG实现将视频自动转码成H264标准Mp4文件
- Android App 沉浸式状态栏解决方案
- Caffe深度学习操作流程
- Waf 基本功能
- MSSQL扫盲系列(1)-CREATE,ALTER,DROP
- Unity 3D 残影的研究 截取当前模型的网格材质并显示
- 建筑行业将掀起一阵装配式建筑风潮
- 如何理解HTTP协议的“无连接,无状态”特点?
- 生物信息学基础入门! For CS(计算机) 基础的人员学习。
- oracle前言
- 一名3年工作经验的程序员应该具备的技能 !
- Junit学习资料(转1)