一、 Web防护
1.1 网络层防护
1)DDOS攻击
2)Syn Flood
3)Ack Flood
4)Http/HttpS Flood(CC攻击)
5)慢速攻击
1.2 应用层防护和功能
1)URL黑白名单
2)HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text/xml,application/x-www-form-urlencoded)
3)注入攻击(form和URL参数,post和get)
l SQL注入防御
l LDAP注入防御
l 命令注入防护(OS命令,webshell等)
l XPath注入
l Xml/Json注入
4)XSS攻击(form和URL参数,post和get,现阶段分为三类攻击:存储式(危害大,也是一种流行方式),反射式、基于Dom的XSS)
5)目录遍历(Path Traversal)
6) form表单数据验证和表单篡改和注入(表单验证银行卡、数据、日期等)
7)认证管理和会话劫持(cookie加密:防护会话劫持,包括cookie超时)。
8)内容过滤(这儿强调上传内容过滤post form和get 参数,主要应用论坛)
9)Web服务器漏洞探测(apache版本等隐藏,站点隐藏)
10)爬虫防护(基于SRC IP,周期判断访问数,爬虫白名单除外)
11)CSRF(Cross-site request forgery)(WAF采用token方式处理能够解决)
12)篡改(包括盗链)(WAF周期爬服务器网页,进行对比验证,如果篡改发现篡改,Client访问WAF网页)
13)Web服务器漏洞扫描(模拟攻击,判断缺陷,自动配置对应规则)
14)cache加速(静态页面优化,PDF,图片等,需要周期映像)
16)错误码过滤(探测服务,及其目录结构)
17)站点转换(URL rewrite)
18)发现攻击锁定(发现攻击,锁定用户)
19)查杀毒
20)加密传输(http -> https转化,即client-waf之间通过https,waf与server之间http)。
21)URL ACL(URL匹配一些规则)。
二、 防止Web信息泄露
1) 银行卡(信用卡、借记卡)、社保卡、驾照等,采用覆盖和隐藏两种方式。
2) 敏感词过滤、Web中关键词(政治敏感词、技术关键词等)
3) 防止文件泄露(word、pdf等扩展文件及其关键词),Web服务器上的文件。
说明:特征需要支持实时在线更新。
OSWAP Top 10 漏洞类型