WAF应用防火墙

WAF学习笔记：

 

       技术攻击：

 

(OWASP Top-10)

• SQL Injection   参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

什么时候可能发生SQL Injection：假设我们在浏览器中输入URL www.sample.com，由于它只是对页面的简单请求无需对数据库动进行动态请求，所以它不存在SQL Injection，当我们输入www.sample.com?testid=23时，我们在URL中传递变量testid，并且提供值为23，由于它是对数据库进行动态查询的请求（其中?testid＝23表示数据库查询变量），所以我们可以该URL中嵌入恶意SQL语句。

如何防止SQL Injection：

总的来说有以下几点：

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。

 

通过正则表达校验用户输入

参考：正则表达式https://www.runoob.com/regexp/regexp-syntax.html

元字符  https://www.runoob.com/regexp/regexp-metachar.html

运算符优先级  https://www.runoob.com/regexp/regexp-operator.html

匹配规则  https://www.runoob.com/regexp/regexp-rule.html

示例  https://www.runoob.com/regexp/regexp-example.html

在线测试  https://c.runoob.com/front-end/854

 

正则表达式(regular expression)描述了一种字符串匹配的模式（pattern），可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。首先我们可以通过正则表达式校验用户输入数据中是包含：对单引号和双"-"进行转换等字符。

然后继续校验输入数据中是否包含SQL语句的保留字，如：WHERE，EXEC，DROP等。

 

 

• Broken Authen./Session Management

参考  http://www.cnblogs.com/rush/archive/2012/03/10/2389590.html

Broken Authentication：在应用程序中，如果验证和会话（Session）管理的功能没有正确实现时，导致攻击者可以窃取用户密码，会话令牌或利用其他漏洞来伪装成其他用户身份。

应该牢记在心充足的数据加密可以确保用户身份验证数据安全性，实现安全认证凭据披露的影响明显和加密的缓解需要发生在两个关键层的认证过程：

1．通过存储持久数据层的加密（关于数据加密请参看这里和这里）。

2．正确使用 SSL。

Cookie一个不太常被使用的属性是Secure. 这个属性启用时，浏览器仅仅会在HTTPS请求中向服务端发送Cookie内容。如果你的应用中有一处非常敏感的业务，比如登录或者付款，需要使用HTTPS来保证内容的传输安全；而在用户成功获得授权之后，获得的客户端身份Cookie如果没有设置为Secure，那么很有可能会被非HTTPS页面中拿到，从而造成重要的身份泄露。所以，在我们的Web站点中，如果使用了SSL，那么我们需要仔细检查在SSL的请求中返回的Cookie值，是否指定了Secure属性。

本文介绍了验证破坏和会话劫持攻击，通过具体的例子介绍了会话（Session）在浏览器中的工作原理，通过Cookie来保持身份认证的服务端状态，这种保持可能是基于会话（Session）的，也可以是通过在Url中嵌入SessinId持久化。

接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。

最后，介绍通过设置合适的会话有效期和加密验证信息可以更好的确保用户验证的安全性。

 

• Cross Site Scripting  跨站脚本攻击。XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。参考：av32599703

 

涉及：攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本，脚本执行后窃取用户信息 比如cookie，再发送到攻击者的网站，这就是跨站。

 

 

 

挂马：

 

 

 

 

 

 

 

防止XSS攻击的方法：

输入处理：

1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script。白名单过滤如用户名密码等关键字，但不可过滤如富文本编辑器里的内容，可根据需求添加关键字。

 

输出处理：

 

对动态输出内容进行编码和转义（根据上下文转义）

转义网站：html entities 即html实体。

将用户的cookie设置为http-only

 

 

 

• Insecure Direct Object Reference   不安全的直接对象引用

 

• Security Misconfiguration  安全配置错误
• Sensitive Data Exposure   敏感数据曝光
• Missing Function Level Access Control  缺少功能级别访问控制
• Cross Site Request Forgery  跨现场请求伪造
• Using Components with Known Vulnerabilities  使用具有已知漏洞的组件

Unvalidated Redirects and Forwards  未经验证的重定向和转发

•  

 

自动化攻击

(OWASP Top-20)

 

Account Creation and Aggregation

Credit Carding, Card Cracking

Credential Cracking, Stuffing

DDoS Attacks

Fingerprinting, Footprinting

Site Scraping

Comment Spamming

Skewing, Spamdexing

Token Cracking

Vulnerability Scanning

 

 

FW/IDS/IPS/WAF等安全设备部署方式及优缺点

https://blog.csdn.net/chenyulancn/article/details/78927916

 

 

IPS（Intrusion Prevention System）即入侵防御系统。IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式，对于模式库中不能识别出来的攻击，默认策略是允许访问的。

 

Google hacking参考 http://www.voidcn.com/article/p-gfzegklm-bdt.html

 

我们今天发现, 攻击者已经继续前进, 他们不仅知道 8 0号港口是开放的, 而且他们知道特定的应用程序可以使用, 比如在线商务、网上银行和账单支付, 和任何其他应用程序一样, 也有安全的潜力 ""漏洞。因此, 攻击不仅集中在协议层, 而且实际上是针对逻辑和应用程序本身。而保护 Web 应用程序的方法是了解应用程序逻辑、了解用户和会话信息以及了解黑客使用的复杂 Web 攻击。 只有 Web 应用程序防火墙才能准确地阻止 Web 应用程序攻击。

 

 

DDoS Protection DDoS 保护

Virtual Patching 虚拟修补

Correlated Attack Validation 相关的攻击验证

Fraud Connectors  欺诈连接器

Account Takeover Protection  账户接管保护

IP Geolocation IP 地理位置

Bot Mitigation Policies 机器人缓解政策

Anti-Scraping Policies 防刮除策略

IP Reputation 知识产权声誉

Dynamic Profiling 动态分析

Cookie Protection cookie 保护

Protocol Validation 协议验证

Attack Signatures 攻击签名

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

重点：Imperva 的技术创新 – 专利技术

 

 

动态建模：Web 模型学习，基于用户正常使用和访问情况确定是否为攻击。如果有异常输入、地域上间隔、异常注入这样大的异常。

  Web 应用程序安全设备必须了解受保护应用程序的结构与用途。 这项任务可能需要管理数以千计的持续变化的变量，例如用户、URL、目录、参数、Cookie 以及 HTTP 方法。 动态建模是 Imperva 的一项专利技术，只需少量甚至无需手动调整即可了解应用程序结构和用途，从而实现安全管理的完全自动化。 本技术概要阐述了动态建模的运作方式。

  Imperva 动态建模技术自动建立可接受用户行为的“白名单”。Imperva 相关攻击验证将动态建模违规行为和其他可疑活动相互关联，可实现高精密阻止攻击。

 

Imperva产品特有技术：透明检测专利技术。

ThreatRadar 信誉服务让 Imperva 客户成功抵御自动攻击和僵尸网络攻击。 ThreatRadar 为 SecureSphere Web 应用程序防火墙 (WAF) 网关实时提供恶意 IP 地址、网络钓鱼 URL 以及地理定位数据清单。 众包威胁情报是 ThreatRadar 社区防御系统的一部分，可保护所有 WAF 网关远离各种新兴的应用程序威胁。

  ThreatRadar 欺诈预防服务使各组织能够快速部署和管理欺诈安全，无需重新编写 Web 应用程序代码。 作为 SecureSphere Web 应用程序防火墙的一项增值服务，ThreatRadar 欺诈预防可帮助企业阻截浏览器中间者攻击和欺诈性事务。

  漏洞扫描程序会给组织带来严重威胁，因为漏洞扫描程序擅长发现相对容易获取的 Web 应用程序漏洞。组织没有对漏洞扫描程序做好充足的防御准备，往往在受到攻击后才开始抵御攻击。本技术概要介绍了对 Imperva 的恶意扫描程序 IP 源的基础研究ÿ