全文共1666字,阅读大约需4分钟。
//
在某攻防演练总结大会上...
攻防演练期间为啥我一个JAVA开发的网站会出现这么多PHP页面的访问请求?
这可能是一些攻击者针对网段进行的批量扫描,各种工具或者脚本内置的请求,探测网站开发语言+开源插件+数据库等等。
那我怎么办呢?就这样让他扫描占用我们的服务器资源?WAF针对一些正常的扫描请求也不能做到100%检测吧?
WAF防护更多的是Web漏洞攻击,Web扫描属于Web漏洞攻击的前置操作,也在WAF的防护范围内,即使一些扫描特征看似无害,但只要是工具或者脚本发出来的请求,我们WAF均可通过Bot防护进行拦截。
那太好了,部署上WAF终于可以过滤这些无用信息了。
WEB扫描攻击的危害
国际机构调研表明,在2022年互联网流量中,Bot流量(自动化程序流量)占比47.4%,其中恶意Bot流量占到了30.2%,而且比例在快速增长。Bot 防护是Web安全防护建设的重要一环。
(源数据来源:2023 Imperva Bad Bot Report)
攻击者通常会通过自动化工具或者脚本等程序对WEB应用进行攻击探测。这个是网络入侵行为的第一步。如果WEB站点的漏洞被黑客利用将会带来敏感信息泄露、数据滥用等安全风险,造成财产损失以及公司声誉受损。
同时,攻击者还可以通过自动化工具进行数据批量爬取。恶意Bot会对网站、移动APP和API进行高速滥用、误用和攻击,执行各种恶意动作,并且导致消耗带宽、服务器速率降低,甚至瘫痪服务器,中断业务。
解决方案
面对越来越复杂的恶意Bot攻击,API安全风险问题,绿盟下一代WAF,在原有Web安全的基础上,加入了Bot安全和API安全的方案,从安全防御和企业业务发展双视角出发,保障企业用户的Web应用安全、业务安全、数据安全,帮助客户将安全能力转化为实际业务价值。
Bot动态防护
通过人机识别、令牌认证、提交数据混淆、页面元素混淆等多重防护手段,针对业务侧层出不穷的爬虫、薅羊毛、漏洞扫描等自动化攻击事件,精准地实现Bot流量识别与拦截等,从而防止爬虫爬取以及自动化工具的攻击。有了Bot动态防护能力,能有效反爬虫,防扫描,降低薅羊毛的风险,减少由此带来的信息泄露及漏洞暴露风险。
★人机识别:判断请求来源客户端是否是Bot自动化工具。人机识别用于识别出Bot,能够防护爬虫、扫描器等自动化工具的攻击。
★ 令牌认证:WAF验证令牌的合法性,防止重放攻击,用于验证每个请求是否包含合法的令牌,能够防护重放攻击和自动化工具的攻击。
★ 提交数据混淆:对提交的数据进行加密,防止中间人攻击和隐私数据泄露。
★ 页面元素混淆:对HTML元素动态变化处理,从而隐藏链接入口,防止爬虫爬取。页面元素混淆用于A标签、From表单以及JS内容进行混淆变换,能够防护爬虫、扫描器等自动化工具的攻击。
API应用防护
绿盟下一代WAF可以根据基线流量自动识别业务API,帮助客户梳理API资产,识别僵尸API;通过API合规检查保障API接口的的合理调用,避免注入攻击或溢出攻击等行为带来的客户损失;还可以配置站点防护策略,有效防御API资产漏洞引发的各种已知、未知威胁,有效保障客户的业务安全。
API资产梳理:支持API资产自学习,从业务流量中学习API资产,自动生成API列表;对API进行分类管理,对无风险的API可以一键加入基线,而有风险的API可以做多样化的处置动作,通过梳理后,可形成API资产基线,有效防范僵尸API或影子API带来的未知风险。
API合规检测:由于API在开发阶段无法预料各种业务场景,未对参数进行过多合法检查。为了弥补该问题带来的威胁,绿盟下一代WAF可通过合规文件对API接口的参数有效范围进行设置,避免API非法调用引发的注入攻击或是内存溢出等行为,保障客户的业务安全和数据安全。
防护效果
1、通过对应用层数据深度检测分析,防御各类 OWASP TOP 10 的WEB安全威胁,例如:SQL注入、网站挂马、远程缓冲区溢出等。
2、通过绿盟下一代WAF的Bot动态防护能力,能够有效反爬虫,防扫描,降低薅羊毛的风险,减少由此带来的信息泄露及漏洞暴露风险。
3、帮助客户快速梳理并纳管有效的API资产,识别和处置风险API;针对API进行合规检查;并且识别防护各类针对API的WEB攻击。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...