云上应用安全防护

云上应用安全防护简介

应用安全包括：

• 应用环境安全：漏洞扫描，代码托管，代码审计，安全加固
• 应用配置安全：ACM配置加密
• 应用保护：WAF (Web 应用防火墙)

防护应用安全产品

应用级防护产品主要包括：Web应用防火墙和网站威胁扫描系统

1. Web应用防火墙
2. 网站威胁扫描系统

Web应用安全概述

介绍一下：Web应用安全问题以及相关的防护方法和工具

Web应用安全问题

Web应用安全问题分为两种： 应用资源耗尽型攻击和Web通用型攻击

应用资源耗尽型攻击：

• 网页变卡，打不开：恶意海量肉鸡访问，网站资源被耗尽

Web通用型攻击：

• 网站数据被恶意爬取，短信流量被烂刷
• 账号数据，资金损失
• 获取服务器管理权限，篡改网站数据，页面

OWASP十大安全漏洞列表

OWASP: Open Web Application Security Project 开放式Web应用程序安全项目。OWASP 项目最具权威的就是其“十大安全漏洞列表”

Web组成部分及Web安全分类

Web应用通常有静态，动态脚本和编译过的代码组成。通常架设在Web服务器，用户在Web客户端或浏览器发送Http请求，请求经过Internet和Web服务器交互，Web服务器和数据库等其它动态内容再进行通信。所以Web应用组成就包括：服务器端，客户端和通信协议。所以根据Web应用的组成部分，Web安全也分为服务器端安全和客户端安全

• 服务器端：SQL注入，文件上传，系统命令执行漏洞，权限漏洞
• 客户端：XSS漏洞，CSRF漏洞，其它浏览器或插件漏洞

Web应用安全防护方法

Web应用安全防护工具：WAF 

Web应用防火墙WAF，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。在应用层更有针对性的对Web应用攻击行为进行实施防御。而不是网络层

WAF保护应用安全

什么是WAF

WAF（Web应用防火墙）：基于云安全大数据和智能计算能力实现运营+数据+攻防体系，综合打造网站应用/APP安全，提供以下保护

• 防御SQL注入，XSS跨站脚本，常见Web服务器插件漏洞，木马上传，非授权核心资源访问等OWSAP常见web攻击
• 0day漏洞快速防护
• 过滤海量恶意CC攻击
• 禁止恶意的接口滥刷，数据爬取
• 避免网站资产数据泄露，保障网站的安全性与可用性

WAF发展历程