如今的互聯(lián)網(wǎng)中90%的應用都架設在Web平臺上，網(wǎng)上銀行、網(wǎng)絡購物、網(wǎng)絡游戲，以及企業(yè)網(wǎng)站等，成為生活和工作必不可少的一部分。所以，Web安全成為繼操作系統(tǒng)與業(yè)務軟件安全之后又一熱點，并且持續(xù)升溫。縱觀安全事件，重大的Web攻擊層出不窮，網(wǎng)絡安全從業(yè)者開始跟黑客們在這一焦點領(lǐng)域不斷的對抗。由于Web平臺的多樣性，以及HTTP協(xié)議及數(shù)據(jù)庫語言的靈活性，Web攻擊形式也五花八門，主要的攻擊方法有SQL注入、跨站腳本（XSS）、CC(Challenge Collapsar)等。

小編分別針對這三種攻擊進行了針對性的方案。

目前很多Web攻擊防護產(chǎn)品在處理SQL注入和跨站腳本攻擊的問題上，都是采用傳統(tǒng)入侵檢測方法，即基于正則表達式的規(guī)則匹配模式。這種方法在應對SQL注入和跨站腳本攻擊時存在很大的缺陷：一是SQL注入和跨站腳本有很多種符合語法結(jié)構(gòu)的寫法并可以進行多種方式的編碼，這樣就能輕易繞過正則表達式的規(guī)則匹配模式，在檢測設備上出現(xiàn)漏報；二是基于正則表達式的規(guī)則匹配模式是在攻擊發(fā)生后進行攻擊分析并提取特征，然后對再次發(fā)生的同類攻擊進行防護，這樣的方法對0Day攻擊無能為力。而且隨著攻擊特征的不斷增加，攻擊防護對檢測設備性能也產(chǎn)生了極大的影響。

CC攻擊防護的關(guān)鍵在能夠識別和區(qū)分出正常用戶的訪問和惡意的攻擊。對于惡意攻擊的識別，采用如下四種方法選擇使用：一是Auto-js-cookie：網(wǎng)關(guān)向客戶端發(fā)送head帶set-cookie的響應報文，一些程序自動發(fā)起的攻擊則無法正確回應。二是Auto-redirect：網(wǎng)關(guān)向客戶端返回重定向報文，在重定向的url中加入cookie后綴，一些程序自動發(fā)起的攻擊則無法正確回應。三是Manual-confirm：網(wǎng)關(guān)在回應報文中嵌入提示信息，并等待人工確認，通過回應的確認報文來驗證源IP的合法性，程序自動發(fā)起的攻擊和僵尸網(wǎng)絡都無法進行這種確認。四是Manual-CAPTCHA：網(wǎng)關(guān)在回應報文中嵌入一個問答框做認證來驗證源IP的合法性，問題可以是二元加減或4字符隨機字符串，進一步加大了確認難度，程序自動發(fā)起的攻擊和僵尸網(wǎng)絡都無法進行這種確認。同時，方案支持對開放代理的識別，用戶可以選擇對通過開放代理訪問的速率進行限制。

外鏈檢查的目的是要杜絕某些網(wǎng)頁篡改、網(wǎng)頁掛馬的行為，例如，在網(wǎng)頁中新添加的對外資源（例如frame、其他服務器上的js、css文件等等）的引用。當開啟外鏈檢查時，安全網(wǎng)關(guān)會對Web服務器應答報文的內(nèi)容進行分析，找到不符合外鏈規(guī)則的frame、iframe、link、object、applet、script等HTML標簽。有些時候，Web服務器確實需要對外引用某些資源，例如js文件、css文件。此時可以配置允許對外引用的白名單，表示位于白名單中的資源是可信的。

目錄訪問控制主要是為了防止Web Shell和敏感信息泄露。例如Web服務器允許上傳圖片文件，但是由于過濾不嚴格，攻擊者通過這個機制上傳了惡意代碼（Web Shell）。為了發(fā)現(xiàn)這樣的惡意上傳，可以把上傳的圖片保存的目錄設置成static。這樣安全網(wǎng)關(guān)就會檢查用戶訪問請求POST數(shù)據(jù)和URI中是否有動態(tài)可執(zhí)行代碼，以及請求文件的后綴名是否已知的動態(tài)腳本后綴（例如.asp、.php、.js等等）；同時服務器的應答報文也會被檢查是否有動態(tài)可執(zhí)行代碼。Web路徑下，有時候包含數(shù)據(jù)庫連接文件（里邊包含了數(shù)據(jù)庫路徑、用戶名、口令等信息），這些文件是被Web服務器上其他文件引用的，不允許用戶直接訪問他們。此時，就可以把它們的訪問控制模式配置成deny。

在部署上，小編建議將安全網(wǎng)關(guān)直接部署在Web服務器前，對Web服務器進行防護，可以滿足企業(yè)用戶日常的Web服務器防護需求。

標簽： cc攻擊 cc攻擊防護 web服務器 安全 代碼 服務器 服務器防護 互聯(lián)網(wǎng) 腳本 企業(yè) 企業(yè)網(wǎng)站 數(shù)據(jù)庫 網(wǎng)絡 網(wǎng)絡安全 網(wǎng)站 問題 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。