李智慧 · 高并发架构实战课
李智慧
同程艺龙交通首席架构师,前 Intel & 阿里架构师,《大型网站技术架构》作者
23286 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 26 讲
开篇词 (1讲)
开篇词 | “附身”大厂架构师,身临其境设计高并发系统
时长 13:36
前置篇 (2讲)
01 | 软件建模与文档:架构师怎样绘制系统架构蓝图?
时长 18:08
02 | 高并发架构设计方法:面对高并发,怎么对症下药?
时长 15:45
高并发系统的海量数据处理架构 (5讲)
03 | 短 URL 生成器设计:百亿短 URL 怎样做到无冲突?
时长 20:15
04 | 网页爬虫设计:如何下载千亿级网页?
时长 20:57
05 | 网盘系统设计:万亿 GB 网盘如何实现秒传与限速?
时长 15:32
06 | 短视频系统设计:如何支持三千万用户同时在线看视频?
时长 15:15
07 | 海量数据处理技术回顾:为什么分布式会遇到 CAP 难题?
时长 16:27
高并发系统的高性能架构 (5讲)
08 | 秒杀系统设计:你的系统可以应对万人抢购盛况吗?
时长 12:49
09 | 交友系统设计:哪种地理空间邻近算法更快?
时长 16:37
10 | 搜索引擎设计:信息搜索怎么避免大海捞针?
时长 14:15
11 | 反应式编程框架设计:如何使方法调用无阻塞等待?
时长 12:09
12 | 高性能架构的三板斧:分析系统性能问题从哪里入手?
时长 13:57
期中测试 (1讲)
期中测试 | 动手写一篇你自己的设计文档吧!
时长 02:10
高并发系统的高可用架构 (4讲)
13 | 微博系统设计:怎么应对热点事件的突发访问压力?
时长 15:43
14 | 百科应用系统设计:机房被火烧了系统还能访问吗?
时长 12:30
15 | 限流器设计:如何避免超预期的高并发压力压垮系统?
时长 16:03
16 | 高可用架构的十种武器:怎么度量系统的可用性?
时长 14:46
安全系统架构 (3讲)
17 | Web 应用防火墙:怎样拦截恶意用户的非法请求?
时长 10:02
18 | 加解密服务平台:如何让敏感数据存储与传输更安全?
时长 16:46
19 | 许可型区块链重构:无中心的区块链怎么做到可信任?
时长 14:37
网约车架构 (3讲)
20 | 网约车系统设计:怎样设计一个日赚 5 亿的网约车系统?
时长 16:04
21 | 网约车系统重构:如何用 DDD 重构网约车系统设计?
时长 09:33
22 | 大数据平台设计:如何用数据为用户创造价值?
时长 10:43
结束语 (2讲)
期中测试获奖用户名单及参考答案:通达系统架构设计
时长 02:08
结束语 | 一个架构师的一天
时长 08:42
李智慧 · 高并发架构实战课
15
15
1.0x
00:00/00:00
登录|注册

17 | Web 应用防火墙:怎样拦截恶意用户的非法请求?

李智慧
极客时间专栏:Web漏洞攻击与防护
如何进行防护
经历成功与否的影响
成功软件的生命周期
中国分公司成功产品
与全球IT企业Web服务器捆绑销售
跳转错误页面或消毒处理
正则表达式匹配
注释与异常信息泄露
CSRF攻击
SQL注入攻击
XSS攻击
定义处理方式
定义攻击的正则表达式
XML格式
漏洞定义文件加载模块
漏洞策略处理器
请求过滤器
正则表达式匹配
路径遍历与强制浏览
注释与异常信息泄露
跨站请求伪造(CSRF)
跨站脚本攻击(XSS)
SQL注入
HTTP请求到达 -> Zhurong判断 -> 拒绝或消毒处理
保护系统安全
拦截恶意请求
部署在HTTP服务入口
作为Web插件
防护缺失比喻:怀揣珠宝的儿童在黑夜中行走
Web安全是必须的功能
保护Web服务安全
识别并阻断攻击
检测HTTP(S)请求
资源推荐
其他Web安全漏洞
软件工程师职业
产品历史
对应处理方法
攻击类型与原理
漏洞定义规则文件
组件
检测手段
处理攻击和安全漏洞
处理流程
功能
部署
重要性
定义
思考题
小结
详细设计
概要设计
需求分析
Zhurong(祝融)WAF
Web 应用防火墙(WAF)概述

该思维导图由 AI 生成,仅供参考

你好,我是李智慧。
Web 应用防火墙(Web Application Firewall, WAF)通过对 HTTP(S) 请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、跨站请求伪造等攻击,保护 Web 服务安全稳定。
Web 安全是所有互联网应用必须具备的功能,没有安全防护的应用犹如怀揣珠宝的儿童独自行走在盗贼环伺的黑夜里。我们准备开发一个 Web 应用防火墙,该防火墙可作为 Web 插件,部署在 Web 应用或者微服务网关等 HTTP 服务的入口,拦截恶意请求,保护系统安全。我们准备开发的 Web 应用防火墙名称为“Zhurong(祝融)”。

需求分析

HTTP 请求发送到 Web 服务器时,请求首先到达 Zhurong 防火墙,防火墙判断请求中是否包含恶意攻击信息。如果包含,防火墙根据配置策略,可选择拒绝请求,返回 418 状态码;也可以将请求中的恶意数据进行消毒处理,也就是对恶意数据进行替换,或者插入某些字符,从而使请求数据不再具有攻击性,然后再调用应用程序处理。如下图:
Zhurong 需要处理的攻击和安全漏洞列表:

概要设计

Zhurong 能够发现恶意攻击请求的主要手段,是对 HTTP 请求内容进行正则表达式匹配,将各种攻击类型可能包含的恶意内容构造成正则表达式,然后对 HTTP 请求头和请求体进行匹配。如果匹配成功,那么就触发相关的处理逻辑,直接拒绝请求;或者将请求中的恶意内容进行消毒,即进行字符替换,使攻击无法生效。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文介绍了一种名为“Zhurong(祝融)”的Web应用防火墙(WAF)的需求、概要设计和详细设计。该WAF通过对HTTP请求内容进行正则表达式匹配,识别并阻断SQL注入、跨站脚本攻击等恶意攻击。它采用远程配置来获取恶意内容的正则表达式,并在发现新的攻击漏洞时进行更新。文章详细介绍了WAF对XSS跨站点脚本攻击的处理方法,包括正则表达式匹配和消毒处理。整体而言,该WAF的设计思路清晰,能够有效拦截恶意请求,保护Web应用安全。文章还提到了WAF对CSRF跨站点请求伪造攻击和HTML注释与异常信息泄露的防护策略。通过过滤器自动在所有响应页面的表单form中添加一个隐藏字段,WAF可以有效防范CSRF攻击。此外,WAF还会检查响应状态码,匹配响应体内容,以防止异常信息泄露。整篇文章通过介绍WAF的设计原理和防护策略,为读者提供了对Web应用安全防护的深入了解和思考。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《李智慧 · 高并发架构实战课》新⼈⾸单¥59
立即购买
03 | 短 URL 生成器设计:百亿短 URL 怎样做到无冲突?
04 | 网页爬虫设计:如何下载千亿级网页?
07 | 海量数据处理技术回顾:为什么分布式会遇到 CAP 难题?
15 | 限流器设计:如何避免超预期的高并发压力压垮系统?
16 | 高可用架构的十种武器:怎么度量系统的可用性?
19 | 许可型区块链重构:无中心的区块链怎么做到可信任?
登录 后留言

全部留言(5)

  • 最新
  • 精选
  • neohope
    除了课程中提到的几种,Web方面的还有水平越权攻击,垂直越权攻击,渗透攻击,漏洞攻击,源码分析攻击,DDOS攻击,缓存攻击,随机数预测攻击,字典攻击,刷单攻击,钓鱼网站,钓鱼邮件,木马攻击,社会工程学攻击等等很多种。 大型商业机构,一般都会信息数据安全方面投入高额成本,包括但不限于防火墙、网闸、安全扫码、杀毒软件、入侵检测、操作系统、中间件、编码流水线、安全策略、安全咨询等等。 但这方面的攻防其实是很不对等的,黑客只需攻破一点,其余投入便都成了马奇诺防线。近年来,社会工程系攻击频频爆雷。从这个角度看,提升员工的安全意识,与上面的各类投入相比,反而更加重要一些。

    作者回复: 赞

    2022-05-05
    10
  • 雪碧心拔凉
    这种防火墙应用是要以一个应用的角色(类似网关?)挂在普通应用的前面,还是以sdk包的方式嵌入到应用中去? 如果是以网关的形式存在,那要解析body对性能是不是会有有很大的影响呢?一般我们网关都是响应式网关,不会去解析body流吧,解析body相当于要将数据从内核态拷贝到用户态,转发时在从用户态拷贝到内核态,性能是有影响吧?

    作者回复: sdk 对性能有影响,但是web应用的响应时间一般是数百毫秒,而body解析的时间通常是微妙级,性能影响可以忽略。

    2022-05-26
    2
  • 👽
    请教一下,这种多层的安全校验会不会有性能问题?要过滤这么多层,每一层都有若干个正则。需要匹配的字符串比较长的话,感觉性能可能会受影响。

    作者回复: 对于服务器的CPU负载压力会比较大一点,但是这个耗时对于请求响应的处理周期而言是微不足道的。而且需要进行安全校验的请求包含的字符串一般不会太长

    2022-03-28
    2
    2
  • peter
    请教老师两个问题: Q1:CSRF第一步怎么过渡到第二步? CSRF的第一步是访问正常服务器,怎么第二步就访问攻击者服务器了?怎么过渡的? Q2:假如应用服务器是Tomcat,Zhurong怎么才能先于tomcat处理请求?是将Zhurong注册到tomcat来作为一个前置filter吗?

    作者回复: 1 就是常见的钓鱼,第一步是前提,需要登录被攻击的服务器,第二步不是必须的,钓鱼链接直接构造的复杂请求参数也可以,钓鱼链接直接指向被攻击服务器。更常见的是钓鱼链接指向攻击者自己的服务器,在返回响应中包含可执行脚本,脚本中构造复杂请求参数,访问被攻击的服务器。 2 是的

    2022-03-28
    2
  • ABC
    早年在一个通用评论类插件(类似Disqus)里面,发现了JS脚本注入。有人在评论里面写了一个alert,导致每次进入页面的时候浏览器会弹出一个弹窗。
    2022-04-22
收起评论
显示
设置
留言
5
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部