一、网站应用防火墙介绍
网站应用防火墙系统就是我们通常称的WAF,WAF的主要功能包括:对访问请求进行控制,可以主动识别、阻断攻击流量,通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
WAF常见部署场景
二、应用防火墙“无力抵挡”的攻击类型
WAF在减缓黑客攻击方面起了一定作用,但同时WAF也存在较大的局限性,文章将从以下三个方面进行说明:
首先,WAF存在一定“被绕过”几率。WAF对HTTP(S)协议进行自行解析,可能存在与web服务器对HTTP(S)请求的理解不一致的问题,从而发生“被绕过”的情况。
其次,WAF的防御往往滞后于黑客的攻击,无法对新型的攻击进行有效的识别和阻断。目前市面上大多数的WAF都是基于规则匹配的,即WAF对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个为恶意代码,从而对其进行阻断,显而易见规则的更新往往是滞后于攻击发生的。
最后,WAF对于逻辑漏洞的防御总是捉襟见肘。WAF对攻击的识别来自于已经设定好的规则库,对于看似“正常”的业务逻辑漏洞却无能为力,比如:
越权操作:入侵者可以用低权限账号登陆系统后,通过拦截并修改用户参数,以达到查看或者修改其它权限账号的目的。
任意用户密码重置:通常发生在忘记密码的时候,由于系统没有严格设置用户忘记密码时的验证方式,入侵者可以通过拦截并修改用户参数,达到重置任意用户密码的目的。
未授权访问:有些业务的接口,因为缺少了对用户登陆凭证的校验或者是验证存在缺陷,导致入侵者可以未经授权访问这些敏感信息甚至是越权操作。例如某程序后台主页面,直接在管理员web路径后面输入main.php等类似后缀即可进入后台,无需验证。
找回密码存在设计缺陷:通过邮箱找回密码时需要访问链接重置密码,用户输入新密码后入侵者可以对提交的内容进行抓包,抓包后可以直接修改用户ID进而修改密码;通过手机号找回密码时,入侵者可以拦截数据包并将用户手机号替换为自己的手机号并获取验证码,提交后可以进行修改密码等操作。
任意修改:有些教务类管理系统存在任意修改漏洞的问题。授权用户录入成绩后可以利用提交按钮不可用漏洞来抓取数据包或者直接修改前端代码,对成绩进行任意修改后再次提交。
弱口令漏洞/默认口令:admin、manager、admin123、admin888、admin666、123456、666666、888888、1qaz2wsx等。
三、网络安全防御体系如何建设
网络与信息安全建设是一个系统性的工作,绝非仅仅部署WAF就可以解决,需要建设一个立体的防护体系。从日常网络安全防护实践来看,至少应做好以下五个方面的工作:
第一,要做好基础安全保障工作,这是开展网络与信息安全的重要基础,可以有效地处理绝大多数非法攻击。其中比较重要的是在信息系统建设过程中遵循“三同步”原则,在网络安全建设过程中做到同步规划、同步实施、同步运营,即在对新建/改建/扩容业务系统规划的环节就明确安全要求,包括业务安全要求和设备安全要求,除了明确对通用业务的安全要求,在新技术新业务规范中同步增加安全要求;在系统开发与测试阶段要加强系统入网安全检测环节,在项目实施期间进行安全监管,确保只有符合安全要求的系统才能上线;在完成入网部署和上线之后,安全监控、安全维护、安全应急三管齐下,通过日常安全运维,维持系统安全防护水平,同时加强版本迭代的入网安全管理,进一步促进各岗位人员安全意识的提高。
第二,做好安全管理工作是建立网络与信息安全体系的一项有力保障。只有建立了立体有效的网络与信息安全管理体系,将职责明确划分、将责任落实到位、将奖惩清晰告知,才能充分落实各项安全管理工作,确保安全管理工作稳步开展。
第三是完善安全策略。所有的设备防护和安全管理都是基于一定策略的,策略过紧则防范工作量剧增且不利于正常开展信息化工作,策略过松则相当于不设防,起不到相应的作用,因此,各单位需根据具体情况制定相应的策略,这是安全工作的重要环节之一。
第四是落实好安全检查工作。安全检查是安全管理中的一个环节,但多为自查。安全检查不应该仅仅局限于自查,也不应该局限于单一的手段,应该是从管理、渗透、测试等多方面开展,目的是及时发现存在的问题并加以纠正。
第五是做好应急处置演练。网络与信息安全工作是攻与防的对抗,是矛与盾的竞争,在这场竞赛中会随着技术不断进步产生新的方法,因此也就可能导致安全事件的发生。所以必须做好应急处置预案并熟练演练,一旦发生安全事件则采取妥当应急处置措施,将危害降到最低。
声明:本文来自教育网络信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。