传统WAF与云WAFv0.3(安全宝-刘漩).pptx

传统 WAF与云 WAF; 刘玄 安全宝 安全技术专家 新浪微博:@aqbsec-0000 Gmail: imiyoo2010@;WAF(Web App Firewall);HTTP/HTTPS数据流(单向);传统的WAF;云WAF;还可以做什么？;安全宝 云WAF;云WAF 功能;Web攻击防御架构;白规则防御;客户端行为分析;2012.10~2012.12攻击态势统计;2012年Web应用0day跟踪TOP10;Top 10 风险预警;WAF 的短板;我们一直在努力;漏报 后端Web Server的特点 IIS的%号绕过,复参数，编码特性 IIS、Apache Nginx“+”号 后端Web App的特点 URL编码绕过 后端Web Db的特点 数据库注释符绕过 数据库的逻辑运算、关键函数 ;收集漏报 扫描器的高危漏洞 白帽子上报 日志的挖掘 添加规则策略 ;下一代WAF？;QA?