预制条件
·需要明确所防护网站的端口是否是标准80端口。
·需要明确所防护网站是否是采用https加密传输。
·需要明确业务系统的“敏感文件”和“敏感信息”都有哪些。
配置好的策略,测试是否生效,策略会在2-3分钟响应。
本地防护/云端防护
防护端口
http:80 FTP:21 MYSQL:3306 TELNT:23 SSH:22
防护类型
SQL注入: SQL注入攻击是由于web应用程序开发中,没有对用户输入数据的合法性进行判断,攻击者可以通过互联网的输入区域(如U RL、表单等),利用某些特殊构造的SQL语句插入SQL的特殊字符和指令,提交一段数据库查询代码,操纵并获得本不为用户所知数据。
XSS攻击: 跨站脚本攻击(XSS)是由于web开发者在编写应用程序时没有对用户提交的语句和变量中进行过滤或限制,攻击者通过Web页面向数据库或HTML页面中提交恶意的html代码,当用户打开有恶意代码的连接或页面时,恶意代码会自动执行,从而达到攻击的目的。
网站扫描: 网站扫描是对WEB站点扫描,对WEB站点的结构、漏洞进行扫描。
WEBSHELL: WEBSHELL是WEB入侵的一种脚本工具,通常情况下,是一个ASP、PHP或者JSP程序页面,也叫作网站后门木马,在入侵一个网站后,常常将这些木马放置在服务器WEB目录中,与正常网页混在一起。通过WEBSHELL,长期操纵和控制受害者网站。
跨站请求伪造: 跨站请求伪造(CSRF)通过伪装来自受信任用户的请求来利用受信任的网站。
系统命令注入: 操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤,把用户提交的请求作为指令进行解析,导致操作系统命令执行。
文件包含攻击: 文件包含漏洞攻击是针对PHP站点特有的一种恶意攻击。当PHP中变量过滤不严,没有判断参数是本地的还是远程主机上的时,我们就可以指定远程主机上的文件作为参数来提交给变量执行,而如果提交的这个文件中存在恶意代码甚至干脆就是一个PHP木马的话,文件中的代码或PHP木马就会以WEB权限被成功执行。
目录遍历攻击: 目录遍历漏洞就是通过浏览器向web服务器任意目录附加“/”,或者是在有特殊意义的目录附加./”,或者是附加“。/”的一些变形,编码,访问WEB服务器根目录之外的目录。
信息泄漏攻击: 信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞,导致一些系统文件或者配置文件直接暴露在互联网中,泄露web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。
WEB整站系统漏洞: WEB整站系统漏洞防护是针对知名WEB整站系统中特定漏洞进行的安全、可靠、高质量防护。
WEBSHELL后门通信: 在已知WEB系统漏洞情况下,攻击者利用WEB系统漏洞将WEBSHELL页面成功植入到WEB系统中,攻击者通过WEBSHELL页面访问数据库,执行系统命令并长期的操控WEB系统。
代码注入: 代码注入是利用web应用在输入校验上的逻辑缺陷,或者部分脚本函数本身存在的代码执行漏洞,而实现的攻击手法。
反序列化: 反序列化就是通过注入被序列化的恶意对象使预定的代码执行,从而达到攻击的目的。
扩展注入: 扩展注入就是通过注入不同类型的拓展文件内容对服务器进行攻击
XML外部实体注入: 当应用程序允许XML格式的数据输入和解析时,攻击者通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
服务器端伪造请求: 服务器端伪造请求(SSRF)是一种由攻击者构造形成由服务端发起请求的一个漏洞,大多是由于服务端提供了从其他服务器应用获取数据的功能,但没有对目标地址进行过滤与限制。
文件下载: 文件下载就是通过下载服务器的敏感文件造成信息泄露。
文件上传: 通过向服务器上传恶意文件对服务器发起攻击。
自定义WAF规则: 所有自定义的规则都会生效。
防护功能
应用隐藏 口令防护 权限控制 数据防泄密 HTTP异常检测 漏洞防扫描
http应用隐藏:
隐藏业务字段类型,F12看浏览器业务代码netwoek选项,如字段 server,X-powered-by 状态码 (4xx ,5xx)
权限控制:
1.文件上传过滤做限制,可新建,如(.docx)等。
2.粘贴业务URL路径做策略限制用户访问。
数据防泄密:
1.敏感信息防护(身份证,手机号,邮箱等)
2.文件下载过滤
如:.jar压缩包
注意事项
1.数据防泄密的敏感信息自定义,只支持正则表达式的形式。
2.数据防泄密的敏感文件过滤,需要对配置里的希望过滤的文件进行“勾选”后再会生效。
3.文件下载过滤只针对用户下载文件的后缀,不检测内容,后缀类型可以自定义手动添加。
http异常检测
1.方法过滤
常用的请求方法,如GET,PUT,POST等,使用抓包软件追踪TCP,UDP,SSL,HTTP流可以看到
复制服务器的GET请求头这个值
可以用Xhack模拟黑客工具测试,把GET,改成PUT
发送失败,说明已被防火墙安全策略拦截
防护类型为方法过滤
可以看到PUT请求的已被拦截
数据包也可以看到PUT请求的语句
2.http头部字段过略
http字段:referer, useragent, host , other header也可新建字段
SQL:referer, useragent
SQL注入防护
F12也能看出一些http请求头字段
用Xhack在refere简单加一个SQL语句测试
发送之后提示提强迫关闭,代表被安全设备拦截
日志已看到威胁类型为SQL注入
查看安全日志数据包,已看到SQL and 1=1攻击语句
3.溢出检查
URL最大长度字节限制
Post最大长度字节限制
案列
查看安全日志
也可对http头部字段多URL长度限制(可自定义,可选择AF自带的)
cc攻击防护
1.来源IP防CC:触犯用户业务10分钟,在10分钟内触发500次,系统会确定是CC攻击
用Xhack,模拟CC攻击,看策略有没有生效
CC攻击会被防火墙自动添加临时封锁
日志中可以查看到访问超过阈值
注意事项
1.CC攻击默认情况不开启,在访问量比较大的SNAT或者cdn等代理环境容易被触发封锁,原因是看到的是代理之后的地址,所以在SNAT或者CDN等环境,不能开启此功能,防止出现业务访问异常的情况;
2.只要触发了CC攻击,源ip地址就会被联动封锁十分钟(无论有没有开联动封锁功能),所以使用cc防护要慎重,且需要与用户说明并经用户同意后再开启。
3.测试的时候CC阈值可以设置的小一点,方便快速出效果。但实际使用时要根据用户的真实业务情况进行设置CC阈值,并建议可以在当前峰值基础上适当再放大一些,减少误判的可能性
用户登录权限防护
漏洞放扫描
一般SNAT或者经过CND场景不见已开启, 漏扫,因为来源攻击IP会被转换成一个统一代理后发起访问就会导致AF看到来源地址只有一个很容易被理解成扫描行为
aswa扫描系统测试af测试是否生效
临时封锁会自动拦截
策略日志可以看到日志
自定义规则
1.WAF 应用防护规则 2.漏洞攻击规则 3.数据库泄密规则 4.僵尸网络规则
原文链接:https://blog.51cto.com/songjiawen/5557770
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23163
