类编程的WAF(上)

于 2021-05-25 15:30:57 发布
阅读量258 收藏
点赞数 1
分类专栏: WEB安全 文章标签: Web安全 应用安全 安全运维 网络安全 WAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44555968/article/details/90640474
版权

一、复杂的需求

WAF (WEB 应用防火墙) 用来保护 WEB 应用免受来自应用层的攻击。作为防护对象的 WEB 应用,其功能和运行环境往往是复杂且千差万别的,这导致即便防御某个特定的攻击方式时,用户需求也可能是细致而多样的。

以最基本的 SQL 注入 (以下简称注入) 为例。注入攻击当然是要防范的,但用户可能还有以下需求:

  • 某个域名或某些特定的 URL 不需要注入检查
  • 对来自外网的注入访问进行拦截,来自内网的注入访问只记录不拦截
  • 对特定的请求参数名或特定特征的请求参数不进行注入检查
  • 非工作时段不仅拦截还阻止该用户一段时间访问
  • 对 admin 等管理账号登录后的访问不进行注入检查
  • 对于只记录不拦截的请求,附加一个特别的请求头发往应用
  • 对某些 URL 的注入访问记录下 HTTP 请求的全部报文
  • 将 HTTP 响应码为 500 的注入的日志紧急度设为 alert

以上需求,用户可能只提出一项,也可能提出多项,还可能是不同的逻辑组合或更多的条件和动作。这还仅仅是防注入这项基本功能,如果有更多的应用防护需求,比如:

一个已登录的非内网用户在 10 秒钟连续访问 POST 方法的页面 (非 AJAX 数据) 达到 5 次,则在 10 秒内延迟这个用户的响应时间 0.5 秒;如果在未来 10 秒内继续访问 POST 方法页面 3 次,则强制用户登出并阻止登录 30 秒;如果一个用户 1 天内这种情形发生 5 次,则产生一条严重级别的告警。

我们该如何描述满足这些需求的功能呢?

WAF是否能够设计得足够灵活,使得实施人员通过现场配置就能实现这个需求?


二、规则的局限性

大部分应用防火墙的配置以规则为核心。

传统意义上的规则,其实质形式是独立的一行行文本,每行文本有固定的结构/字段,可以独立地描述出一个功能。对用户而言,书写规则就是设置其中的参数和选项。这种规则的好处是简单明了,用户甚至可以在图形化界面中完成规则的配置,但其弱点是不足以描述复杂的情形。

最低0.47元/天 解锁文章
天存信息
关注
专栏目录
博客
iGuard6.0—各适其用的网站防护体系
09-26 346
​随着互联网新技术的涌现,网站的架构技术和涉及的资源也日益多样且复杂化。这对网站各类资源的防护工作也提出了更高的挑战和更细粒度的需求。我们经常碰到的用户真实需求包括:我的 CMS 制作系统,会不会发布内容有问题的网页文件?我的网站允许上传图片和附件文件,这些功能会不会被利用,导致坏人偷偷上传了木马文件?万一有恶意脚本文件假冒成图片文件传上来怎么办?除了网页文件,其他一些关键文件 (比如配置文件) 也很重要,会不会被改了?……这些问题本质上是由不同资源的特点决定的,不同的资源需要有不同的
博客
iGuard6.0 — 有序组织的网页防篡改
08-23 331
马克·吐温和理查·芒格说过:如果你身上唯一的工具是把锤子,那么你会把所有的问题都看成钉子。网页防篡改产品诞生之初就是这样一个情形:一个产品只采用一种防护手段。这些手段有的是依托于厂商掌握的先进核心技术发展而成,有的是在成熟技术基础上稍加改变而实现。无论采取哪种防护手段,厂商往往会过度强调其普适性和有效性,一招鲜吃遍天。网页防篡改产品发展到中期,大家意识到:防止网页被篡改是一个综合性和系统性的目标,并没有一个单一、直接和普适的防护手段能够达成这个目标。其根本原因在于:网页被篡改只是问题的表象,其形成的根源则
博客
iGuard和NFS文件同步的解决方案
07-27 299
一般来说,从文件系统中获得文件变化信息,调用操作系统提供的 API 即可。Windows 操作系统上有个名为 ReadDirectoryChangesW 的 API 接口,只要监视一个目录路径就可以获得包括其子目录下的所有文件变化信息,简单高效;接口的支持度也很广,现有主流的 Windows 操作系统都支持,往前还可以追溯到 Windows 2000。对码农来说,能提供稳定有效且好用的 API 的系统就是好系统。而本文将讨论 iGuard 网页防篡改系统在 Linux 上获取文件变化信息的方法及从 NFS
博客
网页防篡改系统与网站安全
07-15 1819
随着网络安全攻防实战演习常态化,企事业单位的网络安全规划标准、建设水平和管理能力均得到大幅提升,反过来也促进了网络安全产品的更新迭代。很多历史悠久的网络安全产品都面临着应用场景发生重大变化所带来的挑战,网页防篡改系统也不例外。传统的网站安全防护体系中,网页防篡改系统的防护目标是保护网页不被篡改。狭义的网页篡改,是指存在于 Web 服务器上的网页文件被攻击者修改。在过去,由于 Web 应用系统发布、运维环节不规范,运维/开发人员安全意识薄弱,攻击者可以利用各种 Web 服务器文件系统权限管控上的缺陷直接篡改
博客
类编程的WAF(下)
05-26 236
类编程的WAF(下)一、编程语言的要素1. 变量2. 条件判断3. 表达式4. 语句二、数据方式的语言表达1. JSON格式2. 规则结构3. 自动循环4. 动态修改三、针对HTTP协议的定制1. 数据类型2. 持久变量3. 状态维护四、有什么用一、编程语言的要素天存信息的iWall3应用防火墙是一种创新式的类编程 WAF,它包含了编程语言的一些基本要素。1. 变量iWall3 中广义的变...
博客
注意!保护我方密码阵地!
05-10 226
​开篇先分享一个故(shì)事(gù)引入本期话题:某公司请第三方安全机构做渗透测试,安全机构的大神们各显神通后发现客户公司的信息安全防护还是非常到位的,一时半刻难以得手。于是乎测试团队另辟蹊径,提出“钓鱼”方案,搭建了一个从访问地址到内容都能够以假乱真的客户公司的管理平台,并向所有管理者发送邮件称管理平台“临时维护”,维护期间,如需使用管理平台请从“钓鱼岛”登录。自古套路得人心,就这样,测试团队顺利拿到管理员的账号和密码,圆满完成渗透任务。在日常生活中,各种各样的密码安全问题,层出不穷,由此引发的各种
博客
网站遭遇CC攻击怎么破?
03-01 1061
最近,有朋友反映自家网站访问速度明显慢了许多,用 top 命令查看发现 CPU 快被占满了,HTTP 连接数不断攀升,愈演愈烈。了解后得知,这已经不是网站第一次遭受 CC 攻击了,之前试过使用 Apache 做反向代理配置,可是 Apache 也没扛住。一、何为CC攻击那么,什么是 CC 攻击呢?这里用一个段子做引,顾客点了份鱼香肉丝没有肉丝,找店家理论,店家矢口否认,于是第二天顾客找了 N 多闲杂人等把小饭馆全部坐满,还不消费,正常顾客无法消费就餐,店主损失巨大。这,就是店家不懂 CC 攻击.
博客
进击的反爬机制
01-29 450
一、概念爬虫一般是指,通过一定的规则策略,自动抓取、下载互联网上网页内容,在按照某些规则算法对这些网页进行数据抽取,形成所需要的数据集。当然,有了数据之后,就有可能进行一些非法活动。反爬虫一般是指,网站管理员使用一定的技术手段,防止爬虫程序对网站的网页内容,进行爬取,阻止爬虫爬取网页内容获取数据后,进行一些非法活动。反爬方与爬虫方不断的进行博弈,给爬虫方不断制造爬取难度或者一定程度的阻止了爬虫方的网页爬取。而爬虫方也在不断更新技术,来对抗反爬方设置的种种防护措施。二、对抗过程最开始的时候,反爬方的
博客
披着羊皮的Neo-reGeorg
12-24 1538
混迹 Web 安全行业许久,查杀网站后门已是家常便饭。时间久了,养“马”场也见的多了,Neo-reGeorg 算得上是同类中战斗力超群的“野马”了,也深受黑客和安全渗透人员的喜爱。Neo-reGeorg 能够简化攻击流程。通常,拿下 Web 服务器并进一步横向渗透时,在 Web 服务器上安装必要辅助工具的过程往往不会很顺利。而 Neo-reGeorg 可以让问题变得轻松很多,只需在本地安装好扫描工具,通过 Neo-reGeorg 把流量透传到 Web 服务器内部就可以了。1. 工具介绍Neo-reGeo
博客
2020 网络安全重保日记
11-27 7812
2020 年双节前夕,国内疫情稳定,长假将启,各项安保措施比以往有所升级,而此时更是网络安全重点保障时期,信息安全工作尤其不能懈怠。各用户单位也陆续启动响应,对网络安全负责人、联络人通知到位,深度排查网络安全风险,及时调整网络安全策略,部署实施态势感知、应急响应、持续安全评估、安全监测巡检等安全措施,并确保安全人员现场保障。安保工作如火如荼,天存信息的技术工程人员也相继奔赴各个信息重保工作现场。一、安全措施与前期建设1.1 个人心理建设轮流值守在三个重点客户的工作现场期间,我需要时刻紧盯日志审计平台,
博客
WEB安全新玩法 [11] 防范批量注册
11-06 2116
网站的攻击者通过批量注册用户,能够实施大规模非法操作,如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失,而大量的垃圾用户也会占用系统资源,增加系统运行压力。防范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种防范批量注册的技术实现方式。以某电商网站为例,其用户注册功能存在被攻击者利用的可能。在此将模拟攻击者批量注册的行为,并利用 iFlow 使用多种手段来防范攻击。攻击示例攻击者编写 RegistTest.py 脚本进行攻击,脚本使用 WebDriver
博客
WEB安全新玩法 [10] 防范竞争条件支付漏洞
10-30 2857
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。一、原始网站这是一个在支付环节存在竞争条件漏洞的站点:用户输入一个支付数值,系统将这个数值与余额比较,如果支付数值小于余额则允许支付,并从余额中减去支付数值。攻击者编写并执行了
博客
WEB安全新玩法 [9] 重置密码之验证流程防绕过
10-23 777
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。某网站系统在用户重置密码时,需进行算术题人机识别验证,再进入邮箱验证码验证环节,通过后才能真正地重置密码。由于程序设计不当,攻击者可以输入任意受害者账号,并正常完成算术题验证后,直接绕过邮箱验证码验证过程,进入到重置受害者密码的环节。我们接下来会看到如何利用 iF
博客
WEB安全新玩法 [8] 阻止订单重复提交
10-19 860
交易订单的重复提交虽然通常不会直接影响现金流和商品流,但依然会给网站运营方带来损害,如消耗系统资源、影响正常用户订单生成、制造恶意用户发起纠纷的机会等。倘若订单对象是虚拟商品,也有可能造成实际损失。订单重复提交的检查工作本应该由网站自身实现,而 iFlow 业务安全加固平台则可以为未实现这项功能的网站提供防护。以某开源购物网站为例,攻击者能够轻松实现订单的重复提交。我们看看如何在不修改网站源代码的前提下,使用 iFlow 通过透明加入一次性令牌来阻止订单的重复提交攻击。一、不检查订单重复提交的原始
博客
WEB安全新玩法 [7] 加密不安全下载路径
10-16 365
提供下载功能的网站,其下载资源的链接是任何用户都能获取的。如若设计不当,攻击者通过分析链接的文本,能够构造出意外但有效的链接,访问网站功能之外的资源,从而窃取主机上的敏感信息。以下就是这样一个例子:网站将下载资源的文件路径作为参数传入,但没有对这个参数进行检查,于是攻击者可以构造多级父路径来尝试获取操作系统的配置文件。使用 iFlow业务安全加固平台能够加密 URL 中的关键部分,使得攻击者的这种构造行为无从进行。一、原始网站1.1 正常用户访问用户点击进入下载页面,点击选择其中一名球星,网
博客
WEB安全新玩法 [6] 防范图形验证码重复使用
10-13 612
在完成关键业务操作时,要求用户输入图形验证码是防范自动化攻击的一种措施。为安全起见,即使针对同一用户,在重新输入信息时也应该更新图形验证码。iFlow 业务安全加固平台可以加强这方面的处理。某网站系统在登录时要求用户输入图形验证码。如果账号信息错误并得到系统提示后,用户重新输入账号信息时,仍可使用原来的图形验证码。我们看看如何利用 iFlow 使得图形验证码每次都得到更新。一、原始网站1.1 正常用户访问用户在登录时输入了正确的图形验证码字符,如果提交的账号信息有误,系统提示登录错误。...
博客
WEB安全新玩法 [5] 防范水平越权之查看他人订单信息
09-29 744
水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。以某电商网站为例,其查看订单功能存在漏洞:仅依靠修改 URL 参数,任意登录用户不仅可以查看自己的订单信息,也可以查看到其他用户的订单信息。我们看看在网站自身存在缺陷的情况下,如何利用 iFlow 阻止水平越权的订单信息访问。一、原始网站1.1 正常用户访问正常用户登录成功之后,进入个人中心的订
博客
WEB安全新玩法 [4] 防护邮箱密码重置漏洞
09-27 553
大部分具有账号系统的应用都会提供重置用户登录密码的功能,常见方式之一是:用户输入自己的邮箱地址或手机号,应用向这个邮箱或手机号发送验证码,用户将收到的验证码输入应用中即可完成密码重置。这一过程容易因设计不周全而被攻击者加以利用。iFlow 业务安全加固平台可以为设计不当的应用打上动态虚拟补丁,使之防御可能的恶意利用。以某网站为例,其邮箱密码重置功能就存在缺陷:获取验证码的邮箱和重置密码的邮箱可以不一致。攻击者能够给任意邮箱所代表的用户设置新的登录密码,从而冒充受害者登录。当然,我们也会介绍如何在不修改网
博客
WEB安全新玩法 [3] 防护交易数据篡改
09-25 557
防护交易数据篡改一、依赖前端数据的原始网站1.1 正常用户访问1.2 攻击者访问二、iFlow虚拟补丁后的网站2.1 正常用户访问2.2 攻击者访问2.3 代码三、总结在任何涉及交易的系统中,客户与商家之间的交易数据具有核心作用,如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中,这些交易数据逐渐形成;待客户提交订单时,交易数据被商家接收,形成双方认可的订单。交易数据在形成过程中必须要有可靠的临时存储,而不可靠的存储会允许攻击者提交伪造的交易数据,使商家利益受损。iFlow 业务安全加固平台
博客
WEB安全新玩法 [2] 防范前端验证绕过
09-18 2588
防范前端验证绕过一、前端验证的原始网站1.1 正常用户访问1.2 攻击者访问二、iFlow虚拟补丁后的网站2.1 正常用户访问2.2 攻击者访问2.3 代码三、总结用户登录,几乎是所有 Web 应用所必须的环节。Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码、拖动滑动条等。但是,如果验证的逻辑仅仅在前端执行,是很容易被攻击者绕过的。iFlow 业务安全加固平台 可以为只使用前端验证的应用打上动态虚拟补丁,使之成为需要前后端配合执行的验证逻辑,大幅度提高攻击者的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值