云上应用安全防护简介

应用安全包括：

• 应用环境安全：漏洞扫描，代码托管，代码审计，安全加固
• 应用配置安全：ACM配置加密
• 应用保护：WAF (Web 应用防火墙)

防护应用安全产品

应用级防护产品主要包括：Web应用防火墙和网站威胁扫描系统

1. Web应用防火墙
2. 网站威胁扫描系统

Web应用安全概述

介绍一下：Web应用安全问题以及相关的防护方法和工具

Web应用安全问题

Web应用安全问题分为两种： 应用资源耗尽型攻击和Web通用型攻击

应用资源耗尽型攻击：

• 网页变卡，打不开：恶意海量肉鸡访问，网站资源被耗尽

Web通用型攻击：

• 网站数据被恶意爬取，短信流量被烂刷
• 账号数据，资金损失
• 获取服务器管理权限，篡改网站数据，页面

OWASP十大安全漏洞列表

OWASP: Open Web Application Security Project 开放式Web应用程序安全项目。OWASP 项目最具权威的就是其“十大安全漏洞列表”

Web组成部分及Web安全分类

Web应用通常有静态，动态脚本和编译过的代码组成。通常架设在Web服务器，用户在Web客户端或浏览器发送Http请求，请求经过Internet和Web服务器交互，Web服务器和数据库等其它动态内容再进行通信。所以Web应用组成就包括：服务器端，客户端和通信协议。所以根据Web应用的组成部分，Web安全也分为服务器端安全和客户端安全

• 服务器端：SQL注入，文件上传，系统命令执行漏洞，权限漏洞
• 客户端：XSS漏洞，CSRF漏洞，其它浏览器或插件漏洞

Web应用安全防护方法

Web应用安全防护工具：WAF

Web应用防火墙WAF，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。在应用层更有针对性的对Web应用攻击行为进行实施防御。而不是网络层

WAF保护应用安全

什么是WAF

WAF（Web应用防火墙）：基于云安全大数据和智能计算能力实现运营+数据+攻防体系，综合打造网站应用/APP安全，提供以下保护

• 防御SQL注入，XSS跨站脚本，常见Web服务器插件漏洞，木马上传，非授权核心资源访问等OWSAP常见web攻击
• 0day漏洞快速防护
• 过滤海量恶意cc攻击
• 禁止恶意的接口滥刷，数据爬取
• 避免网站资产数据泄露，保障网站的安全性与可用性

WAF发展历程

WAF产品功能

防Web应用攻击

防御OWASP的常见威胁，比如：防御SQL注入，XSS跨站脚本，常见Web服务器插件漏洞，后门隔离保护，命令注入等。帮助网站做隐身，网站源IP不对攻击者暴露。观察模式：对疑似攻击只报警，避免误杀

防CC攻击：

CC攻击本质是消耗资源型的应用层攻击，过滤恶意的Bot流量，保障服务器性能正常

HTTP/HTTPS精准的访问控制

多维度进行流量的精准控制

HTTPS优化

网站一键HTTPS、HTTP回源降低源站负载压力

业务风控，日志服务

支持全量访问日志检索，一键查询

WAF优势

WAF工作原理

接入WAF后，不会暴露服务器源IP

WAF安全检测流程

WAF安全检测有一个顺序的。流量经过Web应用防火墙时，首先依次匹配精准访问控制中的规则，再进行CC攻击的检测，最后进行Web应用攻击防护

WAF应用场景

• 网站变卡，打不开
• 网站数据泄密，客户大量流式
• 黑客利用网站被曝光的最新漏洞发动攻击
• 获取服务器管理员权限，篡改网站数据，页面

WAF的不同版本

SQL注入及防护

原因，过程，现象，相关案例，常用的防护手段，WAF防护SQL注入

什么是SQL注入攻击

常见的注入攻击有多种，其中SQL注入是比较常见的一种。SQL注入是通过把SQL命令插入到Web表单递交或输入域或页面请求的查询字符串，最终达到欺骗服务器执行恶意SQL命令的目的。

SQL注入攻击造成的现象

• 数据泄露：猜测并非授权者获得数据库信息
• 数据篡改：破环数据库信息
• 数据删除：数据库信息丢失
• 修改系统访问授权：私自添加，修改系统或数据库账号，甚至对数据库服务器的完全控制

SQL注入过程

黑客对网站进行扫描，发现页面存在注入风险，通过手工构造SQL注入语句，渗透入侵数据，获取网站相关核心数据

SQL注入产生的原因

注入攻击的原因是Web应用程序中存在漏洞，开发人员编写的应用程序缺乏对数据库操作相关的输入数据进行合法性检查，导致应用程序按照攻击者的意图执行

SQL注入攻击语句 举例

SQL注入的防护手段

• SQL语句预编译和绑定变量
• 严格进行输入检查，检查参数的数据类型
• 使用安全函数
• 应用的异常信息应该给出尽可能少的提示
• 不要适用管理员权限的数据库连接
• 不要把机密信息直接存放
• 采用一些工具或者网络平台检测是否存在SQL注入

WAF防护SQL注入

WAF就是一种检测和防护SQL注入的工具。Web应用攻击防护：防护SQL注入，XSS跨站等常见Web应用攻击，实时生效

• WAF防护模式：拦截模式，告警模式
• WAF防护规则策略：宽松，中等，严格

通过阿里云WAF防护SQL注入的步骤

网页防篡改及防护

什么是网站篡改

网站篡改，指的是攻击者利用网站漏洞恶意修改Web页面内容的攻击事件

网站篡改的动机

• 存粹炫耀黑客技术
• 增加自己网站点击率
• 加入木马和病毒程序
• 发布虚假信息获利
• 骗取用户资料
• 政治性的宣传

网站篡改的特点及危害

网站篡改的原因

网站篡改原因有主观原因和客观原因

主观原因

• 密码管理不严格：未定期修改，强度不够，多人共用同一密码等
• 补丁不及时更新
• 不同人员参与到应用开发

客观原因

• 系统负载，漏洞频出，各种应用漏洞（注入，CSRF，身份认证失效，安全配置错误，页面代码泄露等）都有可能造成网站被篡改
• 漏洞发现，补丁公布的时间均过长
• 钓鱼，木马，间谍软件

网站篡改的过程

黑客对网站进行渗透注入，获取管理员权限留下木马后门，在网站页面中留下暗链或者篡改网站页面内容，损害企业对外的公众形象或是造成经济损失

网站防篡改基本原理

网页防篡改基本原理：对web服务器上的页面文件进行监控，发现更改行为时及时阻止或者恢复。

通过WAF防网页篡改

WAF支持网页防篡改功能，WAF可以对指定的敏感页面进行缓存，缓存后即使源站页面内容被恶意篡改，WAF也会返回预先缓存好的页面内容，从而确保正常用户看到正确的页面。

WAF防网页篡改演示

CC攻击及方法

CC攻击以及WAF对CC攻击的防护

什么是CC攻击

CC攻击是ddos攻击的一种，主要用来攻击页面的，可以分为：

• 单主机虚拟多IP地址
• 代理服务器攻击
• 僵尸网络攻击

CC层是针对HTTP 七层的应用层的攻击，有以下特点

• CC攻击的IP都是真实的，分散的
• CC攻击的数据包都是正常的数据包
• CC攻击的请求，全都是有效的请求，无法拒绝的请求
• CC攻击的是网页，服务器什么都可以连接，ping也没问题，但是网页就是访问不了

CC攻击的原理及危害

网站被竞争对手攻击或者黑客敲诈勒索，发起大量的恶意CC请求，长时间占用消耗服务器的核心资源，造成服务器性能瓶颈，如CPU、内存、带宽，导致网站业务响应慢或是无法正常提供服务。

影响CC攻击效果的主要因素：

• 网站的CPU、内存、带宽
• CC攻击选择的目标页面的复杂度，页面消耗服务器资源的复杂度
• 攻击发起的时间，如果攻击行为发生在网站本身访问量比较大的时间段，更容易成功

所以防护CC攻击，也主要从以上3个方面来防护

防御CC攻击的方法

• 禁止网站代理访问
• 尽量将网站做成静态页面
• 限制连接数量
• 修改最大超时时间
• 域名欺骗解析
• 更改Web端口
• 保留访问日志：分析同一IP密集访问，同一URL访问流量激增等情况
• 工具：Web应用防火墙WAF

WAF防止CC攻击

WAF支持防止CC攻击功能，通过独家算法防护引擎，结合大数据，秒级拦截机器恶意CC攻击。

WFA防护CC攻击，有两种防护模式选择：

• 防护模式：针对特别异常的请求进行拦截，误杀比较少
• 防护-紧急模式：高效拦截CC攻击，误杀会比较多

CC自定义防护规则：支持在控制台自定义对于特定路径URL的访问频率限制

WAF防护CC攻击的步骤：

WAF进数据风控防护

关键业务欺诈场景

这些关键业务，从流程设计的维度，可以划分为：

• 账户体系安全
• 交易体系安全
• 支付体系安全
• 用户信息存储安全

这些安全风险体现在各种环节

• 垃圾注册
• 垃圾内容
• 盗卡支付
• 营销作弊
• 撞库
• 暴力破解

关键业务欺诈场景–垃圾注册

垃圾注册是指通过程序或者人力大量注册非活跃账号。在平台推广拉新客户互动时，常常吸引网络上的“羊毛党”通过注册机和虚假账号，人工打码等方式批量注册一批账号，进入平台批量套取优惠。

关键业务欺诈场景–登录撞库

登录撞库：登录网络的欺诈分子利用互联网中大量泄露的用户密码进行尝试，如果账户，密码不幸在泄露库中，可能导致关联平台上的账号被不法分子盗用

关键业务欺诈场景–营销作弊

营销作弊：平台推广活动时，欺诈分子会通过模拟器，虚假手机号码，人工打码等方式绕过平台验证，批量套取优惠，给平台造成不必要的资金损失。

通过WAF进行数据风控

数据风控为WAF基于阿里云的大数据能力，通过业内领先的风险决策引擎，结合人机识别技术，防止关键业务欺诈行为

数据风控在WAF高级版及以上提供

接入数据风控，不需要服务器或客户端做任何改造，只需要接入WAF，即可轻松获取风控能力

WAF进行数据风控原理

WAF进行数据风控流程

漏洞扫描服务

阿里云漏洞扫描CSS是数字化转型中的最佳互联网扫描实践，可自动发现网站关联资产，并进行高效精准的自动化漏洞渗透尝试和敏感内容检测等，保障上线前和线上应用环境的安全性

漏洞扫描结合情报大数据，白帽渗透测试实战经验和深度机器学习，提供全面资产威胁检测

使用漏洞扫描服务

网站威胁扫描系统

网站威胁扫描系统概念及功能

网站威胁扫描系统（WTI）是数字化转型中的最佳互联网扫描实践，可帮助自动发现网站关联资产，并进行高效精准的自动化漏洞渗透测试和敏感内容检测等，保障上线前和线上应用环境的安全性

1. 全面防线关联资产
2. 深度专业的漏洞扫描
3. 敏感，违规违法内容检测
4. 篡改挂马检测
5. 直观的风险扫描报告
6. 封住风险验证和修复指导

网站威胁扫描系统-架构

网站威胁扫描系统-产品优势

网站威胁扫描系统-应用场景

原文链接：https://blog.csdn.net/dreamstar613/article/details/120365152