本文已参与「新人创作礼」活动,一起开启掘金创作之路
⬆️入侵检测&防御
WAF产品如何来拦截攻击?
Waf 产品有三种
-
云 Waf
用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用 DNS 技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器
-
Web 防护软件
安装在需要防护的服务器上,实现方式通常是 Waf 监听端口或以 Web 容器扩展方式进行请求检测和阻断
-
硬件 Web 防火墙
Waf 串行部署在 Web 服务器前端,用于检测、阻断异常流量。常规硬件 Waf 的实现方式是通过代理技术代理来自外部的流量
原理都相同,通过部署在 Web 服务器前方串行接入来将 Web 流量牵引到 WAF 设备中进行清洗或者拦截,最终只把正常用户的请求转发给服务器
当前市场上 Waf 产品核心的防护机制是“规则”,每一个请求、会话,经过抓包,“开包检查”,每一项规则都会检查到,一旦检查不通过,就会被认为是非法访问,拒绝处理
WAF有哪些防护方式?
-
Web基础防护
可防范常规的 web 应用攻击,如 SQL 注入攻击、XSS 跨站攻击等,可检测 webshell,检查 HTTP 上传通道中的网页木马,打开开关即实时生效
-
CC 攻击防护
可根据 IP、Cookie 或者 Referer 字段名设置灵活的限速策略,有效缓解 CC 攻击
-
精准访问防护
对常见 HTTP 字段进行条件组合, 支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性
-
IP 黑白名单
添加终拦截与始终放行的黑白名单 IP,增加防御准确性
-
地理位置访问控制
添加地理位置访问控制规则,针对来源 IP 进行自定义访问控制
-
网页防篡改
对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改
-
网站反爬虫
动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为
-
误报屏蔽
针对特定请求忽略某些攻击检测规则,用于处理误报事件
-
隐私屏蔽
隐私信息屏蔽,避免用户的密码等信息出现在事件日志中
-
防敏感信息泄露
防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等
不安全的第三方组件的漏洞如何做前置规避?
第三方组件缺陷又被归结为供应链安全问题,供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链
-
安全战略评估
要评估风险与合规性,需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。安全风险量化、安全开发、法规和标准合规性以及安全教育和培训是关键
-
事件响应计划与编排
提前为入侵、关闭或中断做好准备,并拥有稳健的事件响应计划很重要。通过实践、测试和易执行的响应计划和补救措施,防止损失
如果现在要你写一个检测命令注入的脚本?
你会怎么写,有哪些要注意的地方,如果别人的脚本检测出来了你的脚本没检测出来你觉的你的脚本会存在什么问题,脚本检测过程中如果没有回显你会怎么做
