20XX年WEB应用安全防护技术.pptVIP

WEB应用安全防护技术;（一）WEB应用安全概况分析 （二）WEB应用攻击防御方式 （三）WEB应用安全解决方案;;;;有利可图安全都是相对的;;WEB服务端安全问题：;WEB应用入侵方式简介 WEB应用入侵防御方式 --传统的防御方式 --最新防御方式 --关于NG FIrewall ;;1.传统的防御方式 2.最新的防御方式 3.关于NG Firewall;网络防火墙 IPS IDS与网络交换设备辅助;基于端口与IP的防御方式（Netfilter/Iptables） 有效防护传统的基于网络层的攻击 提供一些附加功能：访问控制、DOS攻击防御、流量控制等 提供简单的字符匹配等检测方式;入侵防御系统 基于流模式的检测和防御系统 采用特征匹配的方式 对数据包进行深度的检测分析，对数据包的组合逻辑进行深度检测分析 能够检测和防御网络层攻击、TCP层攻击、部分应用层攻击，误报率较高 一般为仅对请求包的单向检测;Intrusion Detection System入侵检测系统 采用流量镜像的方式，对网络流量进行深入检测 典型开源项目：Snort，Bro等 需要交换机做流量镜像，无法实现有效防御（某些系统采用与网络交换设备联动的方式，对检测到的入侵IP进行阻断，典型如GFW的方式；或者伪造向TCP连接发送reset）;（1）WEB应用防火墙功能一览 （2）WEB应用攻击防御架构探讨 （3）防御实现方式对比探讨;WAF（Web Application Firewall）WEB应用防火墙 针对应用层HTTP(s)协议，实现深度检测，应用解码（URL，HTML，UTF8，Base64等），采用特征匹配的方式，结合正则匹配或自学习建模等手段进行入侵检测和防御 双向检测：正向检测攻击+反向检测信息泄漏;针对URL级别的流量和连接数限制，有效防御应用层CC攻击 网页防篡改检测及恢复技术 提供针对URL级别的访问控制：某些URL只允许特定的VIP用户访问；EwebEditor只允许管理员访问等 主要防御点：HTTP协议违规检查、网页爬虫检测、文件上传下载限制、木马及webshell检测、注入攻击（Sql注入及盲注，系统命令注入，文件注入，PHP命令注入等）、XSS跨站攻击、 CSRF、远程文件包含、目录遍历等;WAF（WEB应用防火墙）典型架构;采用应用层代理级的架构，体现对增值业务的支持： --更有效的处理各种应用层编码数据的解码检测 --能对Post或响应大包进行全面的还原解析 --能够对木马文件进行还原解析检查 --架构自身实现对WEB服务器的网络层DOS攻击或SYN Flood攻击防御 --能够实现TCP层的应用加速功能；缓解服务器设计上的某些缺陷问题 --??决网络防火墙和IPS等传统的二三层防火墙难以实现的应用层解密及解码问题 ;两种防御模式及其对比： （1）基于特征库的检测方式：正则表达式匹配 V.S. 多模式匹配（规则库的完善程度决定了防御能力，易漏判） （2）基于自学习建模的白名单策略：零规则（业务模型学习的完善性决定了可用性，易误判） 解决误判和漏判问题，决定了WEB应用安全的防御能力和防范业务的可用性问题;正则表达式匹配实例(1)： SQL注入攻击检测： (?i)\b(?i:and)\b\s+(\d{1,10}|[^=]{1,10})\s*[=]|\b(?i:and)\b\s+(\d{1,10}|[^=]{1,10})\s*[]|\band\b ?(?:\d{1,10}|[\\][^=]{1,10}[\\]) ?[=]+|\b(?i:and)\b\s+(\d{1,10}|[^=]{1,10}) 匹配实例： and ‘a’=‘a’ and 1=1;正则表达式匹配实例(2)： XSS跨站脚本攻击检测： \balert\b\W*?\( 匹配实例：scriptalert(“XSS”)/script;自学习建模思想： （1）提取协议与访问参数与变量特征 （2）建立正常访问的业务模型 （3）伪静态等特殊问题的相关探索 ;针对HTTP协议，建立基于URL的正常访问模型： -URL：长度范围 -Query string：长度范围，“字符串=数字”型？ -Cookie：长度范围，值类型 -Content-length：数值型，大小范围 -Referer：如果不为空，是否为正常的 ,并为其建立可信域名列表 -参数及值：类型，长度范围 …… 通过对这些字段及参数的学习建模，同时可以实现对应用程序代码的规范性确认;伪静态等特殊类型的处理： 如：/news/2011/1205/70753.html 建立基于Location的树形结构， 基于节点建立业务模型 ;下一代防