安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 41 讲
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
时长 09:32
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
时长 14:24
02 | 安全原则:我们应该如何上手解决安全问题?
时长 17:30
03 | 密码学基础:如何让你的密码变得“不可见”?
时长 17:52
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
时长 16:26
05 | 访问控制:如何选取一个合适的数据保护方案?
时长 16:22
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
时长 20:31
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
时长 15:14
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
时长 18:27
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
时长 16:35
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
时长 11:14
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
时长 13:24
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
时长 14:49
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
时长 13:13
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
时长 14:20
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
时长 15:58
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
时长 13:02
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
时长 13:06
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
时长 12:21
19 | 防火墙:如何和黑客“划清界限”?
时长 13:35
20 | WAF:如何为漏洞百出的Web应用保驾护航?
时长 12:59
21 | IDS:当黑客绕过了防火墙,你该如何发现?
时长 16:44
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
时长 13:00
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
时长 14:10
24 | SDL:怎样才能写出更“安全”的代码?
时长 13:55
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
时长 13:41
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
时长 12:48
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
时长 14:41
28 | 机器学习:如何教会机器识别黑灰产?
时长 13:05
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
时长 15:27
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
时长 13:08
知识串讲 (3讲)
模块串讲(一)| Web安全:如何评估用户数据和资产数据面临的威胁?
时长 12:08
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
时长 09:38
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
时长 10:35
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄露商业机密?
时长 08:50
加餐2 | 前端安全:如何打造一个可信的前端环境?
时长 14:53
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
时长 11:46
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
时长 10:20
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
时长 09:52
结束语 (2讲)
结束语 | 在与黑客的战役中,我们都是盟友!
时长 05:03
结课测试|这些安全知识,你都掌握了吗?
时长 00:37
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

20 | WAF:如何为漏洞百出的Web应用保驾护航?

何为舟
提供虚拟补丁的功能
对返回内容中的敏感字段进行统一的打码处理
加密HTTP响应中的Cookie内容
提供其他审计能力
安全相关的审计
行为分析
正则匹配
签名匹配
解密HTTPS请求
解码能力
解析XML、JSON等RPC传输协议
解析HTTP请求
缺点
优点
缺点
优点
缺点
优点
数据保护和虚拟补丁
审计告警
Web安全防护
HTTP解析能力
插件模式
反向代理
透明代理
思考题
选取WAF时需要考虑的因素
WAF的工作模式和主要功能
数据保护和虚拟补丁
审计告警
Web安全防护
HTTP解析能力
插件模式
反向代理
透明代理
功能
工作模式
专注于Web安全的防火墙
总结
WAF的功能
WAF的工作模式
WAF
如何为漏洞百出的Web应用保驾护航?

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
如果你细心观察的话,应该会发现,随着 Web 应用越来越多,黑客的攻击目标也逐渐转向了针对 Web 安全的攻击。传统的防火墙主要专注于网络层的攻击防御,对 Web 安全的防御能力相对欠缺。因此,WAF(Web Application Firewall,Web 应用防护系统)的概念也就被提了出来。WAF 说白了就是应用网关防火墙的一种,它只专注于 Web 安全的防御,近几年来逐渐被当成一个相对独立的产品方向来研究。
那么,WAF 和防火墙到底有哪些区别呢?针对我们之前讲过的各种 Web 攻击手段,WAF 是如何提供保护的呢?今天,我们就一起来看!

WAF 的工作模式

前面我说过,WAF 的本质是“专注于 Web 安全的防火墙”,Web 安全关注于应用层的 HTTP 请求。因此,WAF 的分析和策略都工作于应用层。
在 Web 安全这个方向上,WAF 对比防火墙又做出了哪些改进呢?我们可以从 WAF 的三种工作模式入手,探讨这两者的区别。这三种工作模式分别是:透明代理、反向代理和插件模式。
透明代理和大部分防火墙的工作模式相同:在客户端和服务端通信不需要作出任何改变的情况下,对 HTTP 流量进行请求和转发。在这个过程中,为了解密 HTTPS 流量,WAF 必须和服务端同步 HTTPS 对称密钥。
透明代理的优点就是容易部署,它不需要客户端和服务端进行任何改动。但是,透明代理的缺点也有很多。透明代理本身不是一个 Web 服务,所以它无法修改或者响应 HTTP 的请求,只能够控制请求的通过或者拒绝。正因为如此,它也无法实现 Web 服务所提供的认证、内容过滤等功能。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

Web应用的安全性备受关注,传统防火墙已显不足以抵御黑客攻击,因此Web应用防护系统(WAF)应运而生。WAF采用透明代理、反向代理和插件模式,具有部署简单、功能丰富和与服务端耦合等特点。其功能包括HTTP解析、Web安全防护、审计告警、数据保护和虚拟补丁。WAF能全面保护Web服务安全,提供审计告警、数据保护和虚拟补丁功能。在选取WAF时,需考虑功能完整性、易用性、可配置和可维护性。最后,思考黑客可能通过哪些方式绕过WAF的检测和过滤。 WAF是专注于Web安全的防火墙,能解决绝大部分的Web安全问题,对于黑客针对Web的攻击进行分析和拦截,同时提供额外的审计告警、数据保护等能力。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
登录 后留言

全部留言(15)

  • 最新
  • 精选
  • devil
    老师有没有推荐的开源waf?

    作者回复: 开源WAF确实有一些,比如ModSecurity,不过我了解到的很少有用开源的。因为WAF的技术难度其实不高,难的是写规则。因此,有钱没人的公司会直接买乙方的商业WAF,规则运维都交给乙方。没钱有人的公司会自己开发一个,自己根据已知的漏洞写规则。没钱没人的话,还是不要搞WAF了,最后规则不完善,都是漏报和误报,就是个坑。。。

    2020-02-03
    19
  • 宝仔
    现代基于k8s微服务的架构下,用哪种模式的WAF会更好呢?微服务下一般会有一层网关,网关可能是基于java的spring gateway,也可能是基于openresty(nginx+Lua)的Kong,想问下这种模式下怎么设计WAF更加友好点?望老师能做回复

    作者回复: 微服务通常都有统一的网关入口,因此WAF一般是和网关放在一块的。如果是自己实现的话,一般都是以Nginx的Lua插件来完成的。如果是引用的开源或者商用版本,一般WAF是串联在网关之前或者之后来进行过滤。经过网关处的WAF过滤后,内部微服务直接的HTTP调用就可以当作可信来处理了。

    2020-02-01
    8
  • Geek_
    老师,请问0day漏洞和1day漏洞有什么区别和联系?

    作者回复: 0day就是还未公开,但是黑客已经掌握了的漏洞。1day指已经公开,但补丁还没出,或者还没打上补丁的漏洞。

    2020-06-16
    7
  • 小老鼠
    1,现在有许多技术可以挠过WAF,绕过WAF的难度有多大?2,是不是有了好的WAF,程序就可以不用作对sql注入,XSS注入,CSRF的工作?3,WAF可防止DDoS,钓鱼,旁注攻击吗?

    作者回复: 1、这就取决于不同的WAF产品了。个人感觉,业务选手想绕过WAF还是很困难的,但专业选手花上一定时间研究,一般都还是能绕过的。 2、理论上是,但实际上不可能存在100%安全的WAF。所以安全讲究纵深防御,即使有了WAF,程序中还是应当有相应的防御机制。 3、都不可防

    2020-02-19
    4
  • 李海涛
    市面上都有哪些主要WAF产品等,各有什么优缺点,就更好了。

    作者回复: 这个确实了解的不多,而且感觉有点作广告了,所以就免去了。而且厂商的对外口径嘛,以宣传为主,真实性确实不可参考,还是得实际测试为主。其实,现在的WAF都不差,实际采购的时候,重点关注的还是价格和服务质量。

    2020-01-29
    3
  • 大坏狐狸
    在客户端和服务端通信不需要作出任何改变的情况下,对 HTTP 流量进行请求和转发。在这个过程中,为了解密 HTTPS 流量,WAF 必须和服务端同步 HTTPS 对称密钥。 后面讲 “如果 WAF 宕机了,只是无法提供 Web 防护而已,客户端和服务端的通信不会受到任何影响“ 这里老师 它不转发了 C和S为什么不受影响呢?

    作者回复: 有一个前提是,目前的网络中间件都支持自动的降级熔断机制,而透明WAF相当于一个插件,如果WAF宕机了,流量就会不经过WAF,直接发往目的地。

    2020-03-29
    4
    2
  • 小晏子
    可以从安全防护的地方入手,如WAF通过正则匹配进行行为检测,那么可以考虑能不能绕过正则匹配或者让其匹配失效,比如通过提交非常大的数据,使其数据量超过WAF的能够正则匹配字符,那就可以不经过WAF的正则匹配了。

    作者回复: 正则匹配一般只要部分匹配就可以了,而且正则匹配本身支持模糊匹配,所以提交非常大的数据可能用处并不大。

    2020-01-29
    2
  • 宝仔
    现在的WAF一般都是nginx+lua来实现的把?

    作者回复: 自己开发WAF一般是这个模式。厂商卖WAF的话,一般还是以一个硬件的网关盒子来接入的。

    2020-01-31
    1
  • tt
    绕过WAF也是用双拼和闭合么?

    作者回复: 双拼和闭合你是指的Web安全中绕过过滤的攻击方法吧。也算是一种形式,不过现在WAF的规则一般比较完善,很难使用正常的攻击方式绕过。一般都是采用编码混淆、多个注入点拼接等方式,来隐藏攻击特征。

    2020-01-29
    1
  • LubinLew
    关于WAF的透明代理模式无法更改请求和响应的说法是错误的,我从事WAF开发多年,硬件WAF的透明代理模式都是可以根据功能修改流量的。其原理是从内核将TCP包截获到用户态的TCP协议栈,再还原成HTTP协议,修改后在发送到用户态的TCP协议栈,封包后再发送出去。
    2022-06-20
    1
收起评论
显示
设置
留言
15
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部