QCon北京2014大会4月25—27日@InfoQinfoqchina特别感谢QCon上海合作伙伴云WAF内功修炼安全宝云WAF实践分享@imiyooWhoAmI?刘漩五年安全从业
经验
班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验
2010~安全宝安全研究员国内安全团队安天365核心成员早期作品:imiPhoneWallAndroid手机防火墙(已开源)WatScan网站在线扫描器微博:@imiyoo博客:www.imiyoo.comWAF的疑问WAF是什么,它有什么作用?我们需要它吗?为什么有了WAF还会被入侵?什么是WAFWebApplicationFirewallWeb应用的中间层,对Web请求进行攻击过滤WebServerIIS,Apache,Tomcat,Nginx…WAF脚本(ASP/ASPX/PHP/JSP/CGI…)数据库(Access/MySQL/MSSQL/Oracle…)Web请求的水平路径WAF的划分根据Web请求的水平路径划分:网络层,硬件WAF,云WAF主机层,软件WAF,安全狗代理层,基于WebServer进行实现,外部
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
现为WebServer的模块脚本层,基于WebServer传递过来的Web请求WAF防御思想攻击的特点:攻击二象性:已知攻击与未知攻击攻击的两个维度:形式与漏洞完美防御思想:攻击防御思想:“黑”和“白”WAF的核心原理:运用‘黑’、‘白’思想特征匹配、漏洞签名对匹配结果进行响应(拦截、记录)我们需要它吗?”漏洞”一直存在着攻击自动化、批量化、规模化Struts2漏洞2013-07-18爆发,Apache,苹果官网相继被黑“病毒式”传播WAF的不足WAF只是Web安全的基础防御措施,属于相对的安全,不是绝对的安全!因为漏洞的未知性和攻击形式的多样性,以及大数据的复杂性,导致WAF不可避免存在误报和漏报……所以WAF需要修炼…….基础修炼
规则
编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf
是针对攻击形式还是针对网站?白规则OR黑规则规则如何适应大量网站?自动化AND自学习基础修炼白规则最大化拦截,误报最大化黑规则最小化拦截,误报最小化已知安全请求未知请求(拦截)应用层请求基础修炼我们的选择:放弃白规则,走上“黑规则”之路放弃日志自学习,选择”规则自动生成”误报富文本误报搜索框、论坛帖子、后台模板修改等特点:内容多样化,随机性大,很容易触发规则文件上传内容丰富,很容易触发注入、跨站规则误报静态正则规则的松散关键词与字符串傻傻分不清例子:aqbtest.com/vuln.php?data=selectnamefromuserSQL注入拦截规则:select.*from.*区分单词与字符串:\bselect(\b).*(\b)from(\b).*误报正则缺少逻辑性,执行路径单一一次只能匹配一种条件如PadingOracleAttack的检测:攻击过程:使用WebResource.axd?d=xyz进行漏洞探测,错误密文产生500错误,而正确密文产生404正则显然无力有效匹配内功修炼-消除误报文件、目录白名单POST协议区分对待application/x-www-form-urlencodedmultipart/form-data(文件上传,后门拦截规则)规则引擎逻辑化支持多条件组合判断SQL语法解析引擎解决关键词与字符串混淆内功修炼-消除误报SQL语法分析引擎(Sqlite的lemon)语法分析引擎:http://www.hwaci.com/sw/lemon/工作原理词法分析先将原始数据解析为单词元符号(token)语法解析然后对分解出来的单词符号进行语法树解析攻击判定如果语法树属于攻击或可正常执行语法树形式,那么即存在SQL注入攻击语法解析原理简介SQL语句Selectusername,passwordfromuserwhereid=$id攻击语句:1and1=2unionselect1,1fromuserE(操作关键字)(o)操作符k(SQL关键字)(n)基础
标志
禁止坐卧标志下载饮用水保护区标志下载桥隧标志图下载上坡路安全标志下载地理标志专用标志下载
符数字逻辑运算符数字操作符存在攻击形式或可正常执行的SQL语法树数字语法树解析:1&1UEoknU(操作关键字)漏报大数据包绕过畸形数据包绕过大小写绕过编码绕过URL编码Unicode编码WebServer解码差异性绕过复参数绕过URL二次编码绕过数据库特性绕过注释符绕过冷门函数变量赋值。。。。。攻击绕过解码差异性绕过(WebServer)攻击绕过数据库特性绕过Mysql的特殊符号‘.’、‘!’、‘~’、‘+’、‘-’对于这些我们如何进行防御呢?大牛,绕了我吧,别绕了!!再绕,我就喝死你看!!我要防御!!!内功修炼-降低漏报数据传输层面畸形、恶意的HTTP数据包丢弃WebServer层面大小写不敏感利用WAF底层进行解码,然后进行规则匹配兼容多种后端WebServer对预留字符的特殊处理,让规则进行多路径匹配拦截脚本层面的绕过定制化规则(?)数据库层面的绕过SQL语句解析引擎最新的0day攻击和攻击形式的多样性关注最新漏洞和新型攻击,添加特征规则WAF数据处理
流程
快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计
报文解析报文解析HTTP报文检查HTTP数据包解析解码解码URL、Unicode虚拟IIS解码处理虚拟Apache解码规则匹配规则匹配lua脚本解析引擎SQL语法解析引擎Q&AThanks
浙公网安备 33021202002483