云上应用安全防护简介
应用安全包括:
- 应用环境安全:漏洞扫描,代码托管,代码审计,安全加固
- 应用配置安全:ACM配置加密
- 应用保护:WAF (Web 应用防火墙)
防护应用安全产品
应用级防护产品主要包括:Web应用防火墙和网站威胁扫描系统
- Web应用防火墙
- 网站威胁扫描系统
Web应用安全概述
介绍一下:Web应用安全问题以及相关的防护方法和工具
Web应用安全问题
Web应用安全问题分为两种: 应用资源耗尽型攻击和Web通用型攻击
应用资源耗尽型攻击:
- 网页变卡,打不开:恶意海量肉鸡访问,网站资源被耗尽
Web通用型攻击:
- 网站数据被恶意爬取,短信流量被烂刷
- 账号数据,资金损失
- 获取服务器管理权限,篡改网站数据,页面
OWASP十大安全漏洞列表
OWASP: Open Web Application Security Project 开放式Web应用程序安全项目。OWASP 项目最具权威的就是其“十大安全漏洞列表”
Web组成部分及Web安全分类
Web应用通常有静态,动态脚本和编译过的代码组成。通常架设在Web服务器,用户在Web客户端或浏览器发送Http请求,请求经过Internet和Web服务器交互,Web服务器和数据库等其它动态内容再进行通信。所以Web应用组成就包括:服务器端,客户端和通信协议。所以根据Web应用的组成部分,Web安全也分为服务器端安全和客户端安全
- 服务器端:SQL注入,文件上传,系统命令执行漏洞,权限漏洞
- 客户端:XSS漏洞,CSRF漏洞,其它浏览器或插件漏洞
Web应用安全防护方法
Web应用安全防护工具:WAF
Web应用防火墙WAF,通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。在应用层更有针对性的对Web应用攻击行为进行实施防御。而不是网络层
WAF保护应用安全
什么是WAF
WAF(Web应用防火墙):基于云安全大数据和智能计算能力实现运营+数据+攻防体系,综合打造网站应用/APP安全,提供以下保护
- 防御SQL注入,XSS跨站脚本,常见Web服务器插件漏洞,木马上传,非授权核心资源访问等OWSAP常见web攻击
- 0day漏洞快速防护
- 过滤海量恶意CC攻击
- 禁止恶意的接口滥刷,数据爬取
- 避免网站资产数据泄露,保障网站的安全性与可用性
WAF发展历程