在这个乱象横生的年代,SQL注入、XML注入,跨站脚本攻击,PHP代码注入满天飞,如何进行web应用安全防御,是每个web网站拥有者都会被问到的问题。
对于网站来说拥有一个WAF防火墙对网站安全来说是非常重要的事情。
Web应用程序防火墙过滤,监视和阻止与Web应用程序之间的HTTP流量。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入、跨站点脚本,文件包含和安全性错误配置。
针对网络安全防护,旗鱼云梯为客户提供了基于ModSecurity的WAF防火墙。高效防御SQL注入、跨站点脚本(XSS)、木马上传、网页篡改、以及轻量级DOS等OWASP常见攻击。
ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发。作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录。
waf防火墙记录最近三十天攻击日志,攻击时间区间, 攻击类型分布,攻击来源TOP5,让客户清晰的看到什么时间被攻击,被谁攻击,已经经常遭受那种类型的网络攻击。
ModSecurity的规则相对于国内开发环境来说还是比较严格的,尤其是相对于php代码写的不规范,是waf攻击,脚本注入的重灾区。因此可能会被误杀,怎么判断是误杀还是攻击呢?
一般情况下有两种方法进行判断。
- 旗鱼云梯的WAF拦截攻击后返回的状态码是403,如果发现网站不能正常修改提交内容, 比如wordpess的后台文章发布,更新,上传等。按F12查看HTTP相应状态码是不是403,如果是的话看waf防火墙日志中有没有这个url的攻击记录。如果有的话就是被waf给拦截了,需要加入URL白名单或者IP白名单进行加白过滤处理。
- waf日志中能看到攻击类型,攻击IP, 攻击的域名, 请求的url,攻击方法等。
- 首先查看域名, 如果域名不是网站所绑定的域名或者ip, 那么肯定是攻击无疑了。可以看到第二三条, 域名为空,那肯定是攻击无疑了。
- 看攻击URL路径。如果URL路径不是你网站的路径结构,那么肯定也是攻击无疑了。可以看到第五六条,URL路径是 index.do和index.actioin 这个是java网站的东西,而我这个是php网站,那肯定是攻击无疑了。
- 看攻击IP。第四条URL路径是html页面,看起来不像是我的网站的url,而且攻击ip跟五六条是一样的,第五六条已经确定是恶意攻击,所以第三条肯定也是攻击无疑了。
针对恶意攻击,狠狠的立即封禁它。
WAF ip白名单针对指定ip进行放行处理。
WAF URl白名单 针对指定URL进行放行处理。
自定义WAF规则,可以根据ModSecurity的规则语法, 自定义拦截或者放行规则。自定义规则如果没有特殊需求的话 建议不要随便填写,除非你了解ModSecurity规则语法。语法错误会导致web服务器无法正常运行,如果有需求可以联系旗鱼云梯官方客服免费处理。
WAF防火墙是web网站不可缺少的一部分,也是web网站安全中的第一道防线。高效防御SQL注入、跨站点脚本(XSS)、木马上传、网页篡改、以及轻量级DOS等OWASP常见攻击。保护网站不受恶意攻击
by 旗鱼云梯
旗鱼云梯 - 云平台SAAS化服务器集群管理面板_linux环境搭建运维www.qyyt.com
7126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
