Web攻击防护

助企云WEB应用防火墙有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

防SQL注入攻击

攻击者通过设计上的安全漏洞，把SQL代码黏贴在网页形式的输入框内，获取网络资源或改变数据。助企云WEB应用防火墙设备可以检测在http协议中Get参数、Post表单以及cooke中隐藏的攻击威胁，并通过协议中断阻止此类攻击行为的发生。

助企云WEB应用防火墙可针对web的主流技术进行防护：

● ASP+ACCESS

● ASP+MSSQL

● ASP.NET+MSSQL

● JSP+ORACLE

● JSP+MYSQL

● PHP+MYSQL

● ……

助企云WEB应用防火墙可针对攻击的关键步骤进行攻击防护：

● SQL注入漏洞扫描，踩点防护

● 数据库类型探测防护

● 数据库基本信息探测防护

● 数据表总数探测

● 数据列总数探测

● 数据表名称探测防护

● 数据列名称探测防护

● 数据表记录总数探测防护

● 数据表字段值探测防护

● 数据库字段值增删改防护

● 数据库存储过程执行防护

● 数据库非法授权防护

● 数据库备份防护

● ……

SQL注入工具防护

助企云WEB应用防火墙支持黑客常用的SQL注入类工具进行攻击防护，包括如：

● Domain明小子

● 阿D

● 教主NBSI

● 军火库HDSI

● 穿山甲Pangolin

● CASI

● 二娃

● ZBSI

● ……

SQL注入逃逸攻击防护

1. SQL注入编码逃逸防护

SQL注入绕过WAF的常用方法之一是对注入的语句或参数进行编码，因为基本于特征匹配的算法通常无法匹配编码后的关键字，这样就可以成功地绕过WAF攻击用户的服务器；

如：UTF-7、UTF-8、UTF-16、Base64……

助企云WEB应用防火墙可实现对http协议的语义还原，防止通过语句或参数编码等多种形式的SQL注入逃逸攻击。包括：

2. SQL注入采用注释逃逸；如：//,-,/**/,#,-+,-- -,;%00,/!*UNIION/等；

3. SQL注入采用大小写转换进行逃逸的攻击；如：UnIoN/**/SeLEcT等；

4. 注入攻击缓冲区；如：UNION (select 0xAAAAAAAAA...AAA ...)；

5. 针对SQL中的功能语句增、删、改、查进行可能的注入点。

6. SQL注入TCP/IP分片进行逃逸攻击：类似fragrouter分片工具把数据分片，对于没有基于包重组检测的引擎，这类攻击都可以成功地绕过WAF的SQL注入防护，助企云WEB应用防火墙支持TCP/IP分片进行SQL注入逃逸的攻击防护，防止黑客通过TCP/IP分片逃逸实施攻击。

7. 其他如：or 1=1签名绕过等逃逸方式

8. ……

防XSS跨站脚本攻击

跨站脚本攻击，XSS是一种经常出现在WEB应用中的计算机安全漏洞。它允许代码植入到提供给其他用户使用的页面中。例如HTML代码和客户端脚本，攻击者利用XSS漏洞绕过访问控制，获取数据，例如盗取账号等。助企云WEB应用防火墙可以实现对http协议的解析，通过页面代码对用户输入进行过滤，检查并替换常见的XSS使用字符。助企云WEB应用防火墙可实现包括：

1. 基于标签事件的XSS防护

2. 基于标签 style的XSS防护

3. 基于标签javascript伪协议的XSS防护

4. 基于IE支持的expression的防护

5. ……

助企云WEB应用防火墙还可以支持包括多种类型的webshell后台木马，如：

ASP

● 海洋顶端木马

● 砍客木马

● 蓝屏木马

● 站长助手木马

● 冰狐浪子木马

● 超级隐藏免杀木马

● 阿江探针

● Asp一句话小马

● ……

PHP

● PHPShell

● 灵魂PHP木马

● 采飞扬PHP木马

● C99Shell木马

● 浪点PHP探针

● ……

JSP

● 修改文件时间木马

● 执行CMD木马

● Jshell

● Jfolder

● Jbrowser

● ……

ASPX.NET

● 安全浮云asp.net木马

● WebAdmin木马

● ASPXSPY木马

● ……

应用信息隐藏

助企云WEB应用防火墙可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等

FTP应用信息隐藏：

客户端登录FTP服务器的时候，服务器会返回客户端FTP服务器的版本等信息。攻击者可以利用相应版本的漏洞发起攻击。该功能是隐藏FTP服务器返回的这些信息，避免被攻击者利用。

HTTP应用信息隐藏：

当客户端访问WEB网站的时候，服务器会通过HTTP报文头部返回客户端很多字段信息，例如Server、Via等，Via可能会泄露代理服务器的版本信息，攻击者可以利用服务器版本漏洞进行攻击。因此可以通过隐藏这些字段来防止攻击。

防跨站请求伪造攻击（CSRF）

CSRF即跨站请求伪造，从成因上与XSS漏洞完全相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操作。助企云WEB应用防火墙通过先进的双向内容检测技术，结合数据包正则表达式匹配原理，可以准确地过滤数据包中含有的CSRF的攻击代码，防止WEB系统遭受跨站请求伪造攻击。

防网页木马

网页木马实际上是一个经过黑客精心设计的HTML网页。当用户访问该页面时，嵌入该网页中的脚本利用浏览器漏洞，让浏览器自动下载黑客放置在网络上的木马并运行这个木马。助企云WEB应用防火墙设备可以检测到此类攻击行为。

防网站扫描

网站扫描是对WEB站点扫描，对WEB站点的结构、漏洞进行扫描。助企云WEB应用防火墙设备可以检测到如爬虫、扫描软件，如appscan、等多种扫描攻击行为并进行阻断。

防系统命令注入

攻击者利用服务器操作系统的漏洞，把OS命令利用WEB访问的形式传至服务器，获取其网络资源或者改变数据。助企云WEB应用防火墙设备可以检测到此类攻击行为。

防文件包含攻击

文件包含漏洞攻击是针对PHP站点特有的一种恶意攻击。当PHP中变量过滤不严，没有判断参数是本地的还是远程主机上的时，就可以指定远程主机上的文件作为参数来提交给变量指向，而如果提交的这个文件中存在恶意代码甚至干脆就是一个PHP木马的话，文件中的代码或者是PHP木马就会以WEB权限被成功执行。助企云WEB应用防火墙设备可以检测到此类攻击行为。

防目录遍历攻击

目录遍历漏洞就是通过浏览器向WEB服务器任意目录附件“.../”，或者是在有特殊意义的目录附加“.../”，或者是附件“.../”的一些变形，编码访问WEB服务器的根目录之外的目录。助企云WEB应用防火墙设备可以检测到此类攻击行为。

防信息泄露攻击

信息泄露漏洞是由于WEB服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露WEB服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。助企云WEB应用防火墙设备可以检测到此类攻击行为。

口令暴力破解防护

弱口令被视为众多认证类web应用程序的普遍风险问题，助企云WEB应用防火墙通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。

文件上传过滤

由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行检查，从而导致web服务器被植入病毒、木马成为黑客利用的工具。助企云WEB应用防火墙通过严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。

URL防护

Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过助企云WEB应用防火墙提供的URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。

多种拦截方式支持

助企云WEB应用防火墙可实现对HTTP/HTTPS协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于HTTP协议的内容分析，很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS，仅仅是基于简单的特征检测技术，存在大量的漏报误报的信息。

助企云WEB应用防火墙作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，助企云WEB应用防火墙双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。