发布时间:2022-9-10 分类: 电商动态
本文详细介绍了WAF的一些基本概念。WAF是专门设计来根据Web程序维护操作的。我们对WAF进行科学研究的目的是协助安全服务人员掌握渗透测试中的测试方法,并向安全机械设备制造商展示一些安全建议,并立即修复WAF中存在的安全问题,从而提高WAF的完整性和抗攻击能力。第三,我们期待网站开发者发现,没有WAF也能无忧无虑的不是布署。要找出系统漏洞的直接原因,最好从代码方面进行修复。
一、晶圆片的定义
WAF(网站Web应用服务器防火墙)是根据一系列针对HTTp/HTTpS的安全策略对Web应用进行专业保护的安全产品。普及化是指在WAF产品中集成一定的测试标准,并根据转换后的标准对每个请求的内容进行测试,对不符合安全标准的做出相应的防御解决方案,从而保证Web应用的安全性、合理性和合法性。
二、WAF的原理
WAF解析步骤可分为四个部分:准备、标准检测、解析控制模块和系统日志记录。
1.预处理
在初步处理阶段,接收到数据信息请求的总流量时,首先区分是否为HTTp/HTTpS请求,然后查询URL请求是否在权限内。如果URL请求在权限目录中,会立即提交给后端开发Web服务器进行响应和解析,对未经许可的数据文件进行分析后再进行标准检查。
2.标准检验
每个WAF产品往往都有自己独特的检验标准管理体系。分析后的数据文件将进入检查管理系统进行标准匹配,检查数据信息请求是否符合标准,区分故意攻击行为。
3.求解控制模块
对于不同的检查结果,解控模块会做出不同的安全防御姿态。如果符合标准,将提交给后端开发Web服务器进行响应和解决。对于非标准请求,将实施相关的阻止、记录和报警解决方案。
不同的WAF产品会定制不同的屏蔽内容页面。在日常工作安全渗透中,我们还可以根据不同的被屏蔽网页,识别哪些WAF产品被应用到网站中,进而进行针对性的WAF旁路。
4.系统日志记录
WAF还会记录解堵全过程解堵方案的系统日志,方便客户事后进行日志查看和深入分析。
三.晶圆片的分类
1.软WAF
软件WAF防火墙的整个安装过程非常简单,一键安装即可。必须安装在需要安全防护的web服务器上,防护功能以软件的形式启动,意思是产品:SINESAFE、D盾等。
2.硬晶圆
硬件配置WAF的价格一般比较贵,所以可以从布署通过各种方法开发到Web服务器前端,从外部区分异常的总流量,并进行阻断,对Web应用展现安全防护。意味着产品有:Imperva、天清wag等。
3.Cloud WAF
云WAF的维护成本低,云WAF的阻断标准会自动更新,不需要布署所有的硬件,根据布署,云WAF的网站,我们发出的数据信息请求会先经过云WAF连接点的标准测试。如果请求与WAF阻塞标准配对,将被WAF阻塞和解决,所有正常和安全的请求将在真实的web服务器中共享,以供响应和解决。意味着产品有:阿里云服务器云盾, 腾讯云服务WAF等。
4.定制WAF
在普通的渗透测试中,我们在大量情况下能遇到的就是网站开发者自己编写的安全防护标准。出于网站安全的考虑,网站开发者会在会被攻击的区域升级一些安全防护码,比如担心敏感的空间符号、编号和转义潜在的威协空间符号等。如果你有渗透测试的要求,可以找专业的网站安全公司来处理。
