Radware网站安全性解决方案.pptVIP

政府 企业 防不胜防 面子与里子——预言成真 SQL注入 攻击者通过构造一个特殊的SQL查询语句获得对数据库或者系统的全面控制权，是目前最流行的攻击方式之一 SQL注入 常见的Login请求： SELECT * FROM users WHERE login = victor AND password = 123 (If it returns something then login!) ASP/MS SQL Server login syntax var sql = SELECT * FROM users WHERE login = + formusr + AND password = + formpwd + ; SQL注入 formusr = or 1=1 – – formpwd = anything Final query would look like this: SELECT * FROM users WHERE username = or 1=1 – – AND password = anything‘ 跨站脚本 (XSS) 跨站脚本就是在加载网站页面上可运行的脚本，最终导致信息泄露。 临时脚本，需要点击URL 长期脚本，只需要简单的浏览 跨站脚本 Cookie 篡改 防火墙 防火墙仅作访问控制作用。 防火墙并不是为Web应用而开发，不能识别应用层的信息。 防火墙无法了解Web的输入内容，不考虑URL请求中的异常参数 防火墙不可能检测SSL信息，而大量Web应用采用SSL加密 IPS IPS主要针对通用的应用开发，没有特别针对Web做优化和扩展。 传统IPS主要基于静态特征的方式进行检测，对层出不穷的Web应用漏洞无法覆盖。 IPS只能简单处理Web攻击，无法确切了解攻击目标和代码内容。 缺乏针对Web应用的理解导致IPS的误报率很高，对Web应用控制力度有限。 防篡改系统 主要针对静态页面的非授权修改的防范，通过MD5等扫描验证来实现，实际是网页服务器功能的一个选项 只是基于特征静态的对SQL注入和跨站进行防范，无法对高级注入和攻击进行防范 无法对OWASP所定义的其他Web威胁进行防范 不支持SSL加密的Web防护 没有动态自学习过程，对网站的动态变化无能为力 只适用于静态页面发布的站点，不适合动态事务处理的商业站点 代码也是安全边界的重要部分 设备处理模式 Active 学习、报警、阻断 Passive 学习、报警 Bypass 单纯转发流量 AppWall 技术参数 AppWall 技术参数 AppWall部署 AppWall部署 AppWall部署 成功案例 部署Web安全设备AppWall时，将AppWall同样各自旁挂在7609上，在AD上建立一个AppWall的Farm，当用户Http/Https请求到达AD时，AD将请求转发给AppWall进行检测，如果有攻击或者未经授权的访问，AppWall将直接进行阻断，如果访问请求正常，则由AppWall直接将请求转回AD，再由AD进行负载均衡操作。 OWASP – The Open Web Application Security Project – worldwide free and open community focused on improving the security of application software. OWSAP 顶尖十条最关键的网站安全缺陷1,Unvalidated input 从网页请求数据在被另一网站使用时是无效，攻击者使用那些缺陷通过一个网站攻击backend components。2,Broken access control? ? ? ? 关于证实的用户允许作什么的限制没有被适当的运行，攻击者利用那些缺陷获得其他用户的帐户、查看敏感的文件、或使用未经证实的功能。3,Broken Authentication and Management 帐户认证和session不被适当的保护，攻击者就能窃取口令、keys, session cookies。或者其他的token能打败证明限制并且假借其他用户的身份。4,Cross Site Scripting (XSS) Flaws 网站被用作一种传输一个攻击者到终端用户浏览器上的机制。攻击能成功的窃取终端用户的session token,攻击本地机器，或是可笑的文档愚弄用户。5,Buffer Overflows 在一些语言中没有以适当地方方式输入有效的网站成分就可能被击碎，在一些情况中，被用来控制进程。这些成分包括CGI, libraries, drivers和网站服务成分。6,Injection F