攻鉴产品之旅（六）：Web应用安全的防护秘宝

近年来，随着网络的普及和Web应用的快速增长，Web应用安全问题变得愈加严峻。在各类监测机构的统计中，从Web层面所导致的威胁能覆盖到大大小小的绝大多数厂商，影响的用户数量从几万到上千万不等。

同时，网络安全状况的不稳定也会对Web应用系统造成威胁，如DDoS攻击、终端感染恶意软件、黑客跳板等内部网络问题。因而，重视Web应用安全问题，尽可能减少Web层面所导致的威胁是每个厂商都务必要重视的问题。

Web应用攻击能造成多大损失？

以史为鉴，从已发生过的Web应用攻击事件中能看到重视Web应用安全问题的必要性，如作为美国三大消费者信用报告公司之一的Equifax 曾遭受到的一次严重的数据泄露事件。

事件中，攻击者成功利用了一个Web应用漏洞，获取了超过1亿人的敏感信息，包括社会安全号码、信用卡信息和个人身份信息。

这次事件导致了Equifax的巨大的声誉损失和法律诉讼，在支付了近7亿美元的赔偿和罚款外还有更多难以估量的损失。

无独有偶，Marriott国际酒店数据泄露、Capital One银行云服务器漏洞、SolarWinds供应链攻击等事件，桩桩件件，每个案例都凸显了Web应用安全的重要性。

Web应用防护如何确保有效？

众所周知，WAF（Web应用防火墙）在防御常见Web攻击中发挥着关键作用，因而在进行安全规划时，企业需要确保其WAF系统足够有效，能够抵御新兴威胁，以及修补漏洞时能够提供及时的保护。

而关键的问题在于，WAF的有效性取决于其策略、规则和对新威胁的适应能力。但这些能力往往是不清晰/不确定的。

简而言之，到底是盾够坚固还是矛够锋利，这些疑惑往往会成为未知数，最终在某一次安全事件的爆发中得到验证，当然，大额的损失也随之而来。

对于此类问题，矢安科技攻鉴（AS BAS）突破与攻击模拟系统中的Web安全场景可以帮助企业评估其WAF的有效性，确保其足够强大，且能够防御新兴威胁，而不仅仅是已知的攻击方式。

攻鉴Web场景介绍

矢安科技攻鉴Web安全有效性验证场景，通过外部方式持续向目标站点投递Web相关的攻击向量，以测试WAF设备的策略有效性。

通过任务配置，该场景能够在重大漏洞发布时验证企业已采购WAF厂商的补丁是否生效，也可在重大活动前检查WAF的有效性。

攻鉴的Web安全场景通过外部方式（无需安装和部署客户端）不断向目标站点投递Web攻击向量，以评估WAF设备的策略有效性。它支持以下关键方面：

验证补丁有效性

在重大漏洞发布后，攻鉴WAF场景可用于验证WAF厂商的补丁是否能有效抵御新威胁。

实时和定期检测

通过模拟各种攻击，它可以实时/定期检测WAF的性能，并确保它能够在面对未知攻击时保护Web应用。

绕过技术评估

Web安全场景支持对多种WAF绕过方式的有效性评估，包括攻击编码绕过、协议解析问题绕过、参数污染等等。这有助于组织更好地了解WAF的限制。

此外，攻击模拟场景支持多种WAF绕过方式的测试，包括但不限于：

●IP封锁绕过：攻击者尝试绕过WAF的IP封锁策略。

●HTTP Smuggling：攻击者利用HTTP传输漏洞绕过WAF。
●分块传输：测试分块传输攻击是否能绕过WAF。

●参数污染：攻击者试图通过参数污染攻击规避WAF。

●HTTP参数溢出绕过：测试攻击参数溢出绕过WAF。

●畸形包：检查WAF对畸形包的处理情况。

●利用pipline绕过：攻击者尝试通过利用协议解析问题绕过WAF。

此外，Web安全攻击模拟场景具有丰富的Web攻击向量库，用户可自定义攻击向量和创建各类攻击向量模板，能帮助企业更好地评估其WAF设备的韧性。

攻鉴运行流程

为了降低企业使用成本，提升安全运营效率，攻鉴能以SAAS形式完成运营闭环，运营流程设置高效便捷：

开箱即用

组织只需要订阅BAS系统，并确保与其网络环境通畅。

任务配置

在BAS运行之前，明确目标，选择模拟攻击类型和目标系统，可发放即时任务、定时任务及周期性任务。

运行模拟

BAS开始模拟各种网络攻击，监控网络活动。

监控和报告

BAS提供实时监控和生成详细的网络安全报告，包括攻击模拟结果和漏洞报告，并支持导出下载，以便企业能够查看任务情况。

修复和优化

基于报告的发现和建议，组织可以采取必要的行动来修复漏洞和加强网络安全，以确保Web应用系统的稳定性。

循环运营

网络安全是一个不断发展的领域，因此，组织通常会定期运行BAS，以保持网络安全水平，并适应新兴威胁。

总结

Web应用安全已经成为企业安全战略的重要组成部分。通过使用攻鉴Web安全场景，企业可以不断提高Web应用的安全性，确保其WAF设备足够强大，能够抵御各种已知和未知的攻击方式。

而通过定期的评估和综合评分，企业可以保护其Web应用免受威胁，减少潜在的经济损失和声誉风险。不是等到攻击发生，而是在事前采取措施，把好第一道关卡，提高企业安全建设关键一环的安全性。

攻鉴（AS BAS)突破与攻击模拟系统

矢安科技作为Gartner《2023中国安全技术成熟度曲线》BAS代表厂商，产品攻鉴依托于攻防研究团队多年的实战经验和技战法沉淀，以自动化、无害化的方式持续开展攻击模拟，验证企业安全有效性。产品覆盖完整杀伤链的安全验证场景，包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护、容器安全等。产品形态为SaaS和私有化部署，为用户提供灵活的产品订阅服务，用户可以按需、按服务周期订阅安全场景。攻鉴不引入靶场环境、不直接使用恶意样本进行测试，不会改变执行环境，以高度自动化、高安全性、无害化的方式持续进行攻击模拟和安全验证。

搜索下方链接或点击底部阅读原文可以了解更多呦~

https://www.asants.com/request.html

往期推荐