目前的一些主流攻击方式有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击,这几类攻击都已经形成了比较成熟的防御措施。
注入漏洞涉及的内容非常广泛,涵盖了各种语言环境和众多不同的攻击类型,在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标,目前最常见的解决方法还是通过js函数过滤进行防护。应用层ddos攻击是国内非常常见也是最难以防范的攻击手段,其根本原理是通过大批量的发送请求来非法占用服务资源,目前只能通过跨代理查询屏蔽ip的方式进行阻止。
web应用防火墙构架建议
由于web应用的特殊性,针对web应用的攻击变形技术很多,单纯的基于特征签名的防御措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要原因。通过固定应对措施或单独使用编码技术进行防护的措施都具有一定的限制性,而防火墙能够同时兼顾两个方面的需求,在涉及中通过预处理模块与检测模块的互为合作可以同时实现上述两个方面的需求。
web应用防火墙防护功能的实现方案
1、预处理模块,该模块的主要功能在于编码解码标准的实现和融入,基于SSL协议层实现。SSL协议是安全套阶层协议,其主要功能为认证、加密、完整性验证三个方面。在编码标准化方面,由于web应用的特殊性,支持各种编码,攻击者可以通过各种编码和变换字符集来突破现有的防御措施。
2、检测功能实现,检测模块在web应用防火墙中承担了安全功能需求导向部分的实现,功能涵盖了过滤器和权限控制两个方面:首先是过滤器,过滤器注重解决的就是web应用中最为严重的用户输入恶意信息的问题,其次是访问控制,web应用站点正常会包含一些不在正常网站数据目录树内的URL链接。WAF可以通过访问控制策略提供细粒度的访问控制列表,阻止这些谅解的非授权访问。