Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
列举常见的攻击和安全漏洞列表:
攻击(漏洞)名称 | 攻击(漏洞)说明 |
跨站点脚本攻击 | 黑客通过篡改网页,注入恶意JS 脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。 |
SQL注入攻击 | 在 HTTP 请求中注入恶意 SQL 命令(drop table users;),服务器用请求参数构造数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行。 |
跨站点请求伪造 | 攻击者通过伪造合法用户身份,进行非法操作,如转账交易、发表评论等。 |
注释与异常信息泄露 | 在返回给用户的响应中,HTML注释或者500异常内容包含系统敏感信息,使非法分子利用这些信息发现系统的脆弱之处,进而进行攻击。 |