WAF的核心技术在于对Web攻击防护的能力和对HTTP本质的理解。前者要求WAF能完整地解析HTTP,包括报文头部、参数及载荷;支持各种HTTP编码;提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备HTTP Response过滤能力。从降低安全风险的角度而言,后者要求WAF能有效影响攻击者因素中的机会、群体因子以及漏洞因素中的发现难易度、利用难易度、入侵检测与觉察度因子。 那么,WAF是如何防御Web攻击的?CSRF是一类被广泛利用的Web应用安全漏洞,该攻击通过伪造来自受信任用户的服务请求,诱使用户按照攻击者的意图访问网站信息,或者执行一些恶意的操作,比如登出网站,购买物品,改变账户信息,获取账号,或其他任何网站授权给该用户的操作等。 相对于使用特征集的静态防护,WAF所采用的动态防护机制更具智能性和灵活性。基本思路是通过web应用防火墙随机产生的隐含表单来打断一个不变的会话,也就是说即使攻击者获取到了用户身份,但是随机变化的验证码让攻击者无法构造一个不变的报文。 还有一类影响Web应用可用性的攻击也比较典型,即应用层DDoS攻击,习惯称为CC攻击。不同于网络层带宽耗尽型的DDoS攻击,此类攻击构思更为精巧,意在以相对较小的代价耗尽Web服务器侧的系统资源,如磁盘存储、数据库连接、线程等。 基于规则的拒绝服务攻击防护或者调整Apache配置均很难应对这种攻击工具。而应用了多种防护技术的WAF产品,可天然应对基于这类工具的攻击。
来源:oschina
链接:https://my.oschina.net/u/3778504/blog/1828811