Содержание этой статьи в основном подробно знакомит с некоторыми основными понятиями WAF. WAF специально разработан для защиты работы веб-программ. Цель нашего исследования обхода WAF — помочь сотрудникам службы безопасности понять методы обнаружения при обнаружении проникновения и предоставить некоторые предложения по безопасности производителям устройств безопасности. Немедленно устранить существующие проблемы безопасности в WAF для улучшения целостности и устойчивости WAF к атакам. В-третьих, надеяться, что разработчики веб-сайтов смогут понять, что быть в безопасности после развертывания WAF непросто, и чтобы выяснить причину уязвимостей системы, лучше всего исправить их с точки зрения кода. 1. Определение WAF WAF (брандмауэр сервера веб-приложений) — это продукт для обеспечения безопасности, специально разработанный для защиты веб-приложений путем реализации ряда политик безопасности для HTTP/HTTPS. Проще говоря, это означает, что продукт WAF интегрирует определенные стандарты обнаружения, которые будут определять содержимое каждого запроса в соответствии с преобразованными стандартами и создавать соответствующие защитные решения для тех, которые не соответствуют стандартам безопасности, тем самым обеспечивая безопасность веб-приложений. Сексуальность и разумная законность.
2. Принцип ВАФ
Этапы обработки WAF можно условно разделить на четыре части: подготовительная обработка, стандартное обнаружение, модуль управления обработкой и запись системного журнала.
1. Предварительная обработка
В подготовительном процессе, во-первых, при получении потока запроса данных сначала определите, является ли он запросом HTTP/HTTPS, а затем проверьте, входит ли запрос URL в полномочия.Если запрос URL находится в каталоге полномочий, он будет немедленно отправлено на серверную часть. Откройте веб-сервер для обработки ответов и войдите в стандартную часть проверки после анализа файлов данных в рамках полномочий.
2. Стандартный осмотр
Каждый продукт WAF имеет свою собственную уникальную систему стандартов проверки.Проанализированные файлы данных будут поступать в систему проверки для сопоставления со стандартом, чтобы проверить, соответствует ли запрос данных стандарту, и выявить агрессивное поведение.
3. Решить модуль управления
Для различных результатов проверки модуль управления обработкой предпримет различные действия по защите безопасности.Если он соответствует требованиям, он отправит его на внутренний веб-сервер для обработки ответа.Для запросов, которые не соответствуют требованиям, соответствующая блокировка, запись , и будет реализована обработка тревог. .
Различные продукты WAF будут настраивать разные страницы блокирующего контента.При проникновении в систему безопасности в повседневной работе мы также можем определить, какой продукт WAF используется веб-сайтом на основе различных блокирующих веб-страниц, а затем целенаправленно обходить WAF.
4. Системный журнал
В процессе обработки WAF также будет записывать системные журналы обработки блокировки, чтобы пользователи могли просматривать журналы для углубленного анализа после события.
3. Классификация ВАФ
1. Мягкий WAF
Весь процесс установки программного обеспечения WAF firewall очень прост, установка в один клик, он должен быть установлен на веб-сервере, который нуждается в защите безопасности, а функция защиты активируется в виде программного обеспечения, что означает продукты: SINESAFE, D- Щит и др.
2. Жесткий WAF
Стоимость аппаратного WAF, как правило, относительно высока, его можно развернуть на передней части веб-сервера различными способами для выявления аномального трафика из внешнего мира и его блокировки для обеспечения безопасности веб-приложений. Это означает, что продукты: Imperva, Tianqing WAG и т. д.
3. Облачный WAF
Обслуживание облачного WAF является недорогим, и нет необходимости развертывать какие-либо аппаратные устройства для настройки, а условия блокировки облачного WAF будут обновляться автоматически. Для веб-сайтов, использующих облачный WAF, запросы данных, которые мы отправляем, сначала проходят стандартную проверку в точке подключения облачного WAF. Если запрос соответствует стандарту блокировки WAF, он будет заблокирован WAF для обработки. безопасные запросы Затем поделитесь им с реальным веб-сервером для обработки ответов. Это означает, что продукты включают в себя: Alibaba Cloud Server Cloud Shield, Tencent Cloud Service WAF и т. д.
4. Пользовательский WAF
В нашем обычном тестировании на проникновение в большинстве случаев мы можем столкнуться со стандартом защиты, написанным самим разработчиком веб-сайта. Чтобы обеспечить безопасность веб-сайта, разработчики веб-сайта добавят некоторые защитные коды в области, которые могут быть атакованы, такие как фильтрация важных пробелов и нумерация потенциально опасных пробелов.