Web应用安全--攻防对抗发展趋势
Struts2 S2-032让安全的江湖又掀起了一阵腥风血雨,很多网站纷纷中招,被黑客入侵造成了各种重大损失。从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业,这次也不例外。网站的Web安全一直是一个大众密切关注的方向,接下来我们聊聊这个话题。
超过半数的网站Web应用数据遭受泄露、造成重大财务损失;
企业网站安全事件频发、遭黑客勒索与竞争对手恶意攻击;
越来越多的网站开始将业务接入到云计算服务中、充分利用云的计算优势和便利;
网站的管理者都开始关注网站安全,会使用安全产品进行防护。
企业面临的挑战
每天曝光的Web漏洞、危害性大、影响面广,如何保持实时的更新?
不断的收到大量的安全告警日志、但不知如何下手?
被第三方漏洞平台曝光网站安全隐患,防不胜防?
海量肉鸡攻击下网站的页面显示很慢甚至无法打开、无能为力?
攻击从传统Web攻击跨越到业务场景、如撞库、抓取数据、短信接口滥用等,束手无策?
解决方案
WAF(Web应用防火墙)作为一款成熟的网站防护产品、已成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测, 能够阻拦SQL注入、跨站脚本攻击,阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。
云安全下的新特性
WAF作为一款传统的安全防护产品,已经发展多年。但近年来,随着云计算市场的火热,WAF有了一种新的接入方式:云部署。通过简单的DNS记录变更,将流量引入到云端防护集群,经过安全防护检测后,将安全流量回源到服务器。相比于传统的防护手段,它有如下特点:
产品+数据+运营,三位一体综合、实现最佳防护效果。传统的安全防护模式仅是提供形形色色的产品。但绝不仅仅是买了个安全产品就搞定了一切。安全是需要不断的大数据分析模型、自适应的调整防护策略应对不断变化的安全趋势;需要不断的对产品进行精细化的运营。阿里云在数据和运营上有着先天的巨大优势,客户要做的,就是关于自身业务,安全交给我们。
零部署、零安装、五分钟接入、快速稳定。仅需简单的变更、无需繁琐的机房布线、机器上架等操作、即可快速享受安全防护。同时多集群部署保障业务稳定不受影响。
实时防护0day漏洞。云上安全专家实时监控、针对漏洞的防护规则云端瞬时下发、无需传统模式下的复杂升级流程。
防护能力自动扩展、与云上网站共享。云上用户包括淘宝、支付宝等生成的防护规则,百万级的恶意IP信誉库、恶意样本等,均自动覆盖到您的网站。
集群弹性扩容、轻松应对海量业务下的防护。传统的防护模式、很难满足业务突增(如秒杀促销活动)、海量肉鸡攻击的场景,而云计算时代下的弹性扩容及大数据学习能力、将这些不可能都变成了过去。
在业务上,结合反欺诈、风控、人机识别等相关技术,在不修改应用代码的情况下,完美的实现防撞库、防爬防抓、接口滥用等业务防护需求;在产品的结合上,无论是和CDN的联动打造安全的加速流量,还是和云解析的一键开通,无缝融合、满足用户业务的各种使用场景。
云WAF发展的新道路
诚然,曾经的云WAF也有被人诟病之处,比如说攻击者可以绕过WAF直接访问源站地址进行定向攻击;业务误漏报后、不能很好的支持网站的规则自定义;数据的隐私泄露,HTTPS业务下私钥的安全性等。但经过这几年技术的发展,这些都变成了历史,不再是云WAF的弱点、取而代之的是下面的变革:
合规。积极的完成PCI-DSS认证需求,满足企业对数据安全性的要求。针对数据库的注入抓取等非授权行为做到安全防护,避免数据泄露。针对企业对HTTPS业务下的私钥安全顾虑,推出Keysafe方案,无需上传私钥,同时支持对加密流量的安全防护。
严密。针对以往的指定源站IP进行定向攻击绕过、一方面可在源站服务器上做安全准入控制、只允许云WAF的IP访问,其余定向的访问一律禁止;另一方面将站点流量全部置身于云WAF的防护中、实现网站的隐身,避免真实地址的暴露。
省心。充分利用云计算的大数据优势、建立起网站的正常模型。能够清晰的梳理出网站的正常业务请求模型、让0day漏洞无从绕过,正常的业务请求不被误阻断。网站接入初期开启预警模式、保障线上业务的正常运行、在最短时间内让网站维护者清晰的清楚业务误漏报概况。
全面。高性能SSL支持,数据链路加密。防护能力更多的覆盖到如撞库、接口滥用、业务欺诈、风控识别等业务场景中。
贴心。针对站点、URL等定制各种精细化的防护策略;提供友好可自定义的出错、拦截页面;给予网站用户最好的使用体验。一切皆可定制,打造成你自己想要的那一个。
对于数据隐私要求性非常高的金融行业,WAF是必备的防护利器。阿里云WAF除了支持云内客户的网站安全防护,也支持云外客户的安全需求,通过DNS切换轻松一键接入。除此之外、阿里云安全为金融行业还可以提供各类安全服务(如白盒测试、黑盒测试、渗透测试、移动应用测试等),全力为客户打造安全的解决方案。
本文转自d1net(转载)
Web应用安全--攻防对抗发展趋势相关推荐
- 从网络安全热门岗位看红蓝对抗发展趋势
目前网络安全行业哪些岗位最热门?以下为SANS发布的2021年网络安全领域最酷的20个岗位: SANS:网络安全领域最酷的20个岗位 从岗位名称及职责描述中我们可以看到,除了安全技术总监.渗透测试.漏 ...
- 欲知己之所防,先知彼之所攻——论Hook 技术的攻防对抗
矛盾的同一性与斗争性原理几乎适用于所有攻防对抗. 上期,我们在<当硬件属性不再作为设备指纹的标识,我们该如何保证设备指纹的唯一性>一文中曾介绍了硬件ID 作为设备指纹的基础属性的发展演变- ...
- 我看APT攻防对抗(2):APT攻击的案例
我看APT攻防对抗(2):APT攻击的案例 FlashSky of code audit labs of vulnhunt.com 翰海源:立志于让安全成为IT系统基础属性;帮助客户改进自身系统的安全 ...
- 从webshell的视角谈攻防对抗
0x0 背景 由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新.冰蝎出了3.0版本.甚至还有好几个beta版本:还朋友圈还出了一个据说比冰蝎3.0还厉害的神器"哥斯拉&qu ...
- 猿人学web端爬虫攻防大赛赛题解析_第九题:js混淆-动态cookie2
js混淆,动态cookie2 一.前言 二.加密逻辑初探 三.加密逻辑深入分析 四.代码实现 4.1.ast解混淆的一个坑 4.2.完整实现过程 五.参考文献 一.前言 一转眼又有快两个星期没更博客了 ...
- 攻防对抗形势下代码重用技术的演进
,基于代码重用的程序执行方式被广泛用于漏洞攻击中, 用来绕过代码不可执行.动态代码签名等安全机制.图 2从时间维度给出了代码重用攻击的演变历程. Fig. 2 Evolution of binary ...
- 猿人学web端爬虫攻防平台第七题动态字体
本人呢很喜欢爬虫,但是技术不好,所以呢就一直慢慢的摸索着,也不知道那什么练手进行学习,直到我在偶然的机会接触到了猿人学,发现了 猿人学web端爬虫攻防平台这个网站,久旱逢甘霖,他乡遇故知呀(蹩脚的词语 ...
- 活动报名 | 中科院信工所陈恺:人工智能安全攻防对抗
活动议程 日期:2月24日(周五) 时间 主题 10:00-10:05 开场简介 孟国柱 中国科学院信息工程研究所信息安全国家重点实验室副研究员,青源会会员 10:05-10:50 人工智能安全攻防对 ...
- 【论文-笔记】雷达/电子干扰攻防对抗信号级仿真中提高仿真速度的思考和实践
目录 摘要 1 信号级仿真的必要性 2 信号级仿真的速度问题及其解决出路 3 从仿真软件本身找速度问题的解决出路 3.1 提高模型抽象和实现的层次和水平 3.2 提高算法优化的层次和水平 3.3 提高 ...
最新文章
- mysqldump备份数据库时出现when using LOCK TABLES
- javascript:子窗口和父窗口交互
- 也许90%的人都没有真正搞懂性能优化
- [转载] 杜拉拉升职记——15 1001个笑话
- XML解析之JAXP案例详解
- android kill process,为什么Application有时会在killProcess上重启?
- 2021第十届小美赛-“认证杯”数学中国数学建模国际赛
- cmos和ttl_TTL与CMOS详细介绍
- 35岁的程序员:第25章,离职
- Spiral Matrix(Medium)
- web前端面试题-1
- ACD_把dwg像控件一样放到界面
- 送你一波运维背锅专用图~
- 前端面试技巧和注意事项_前端HR的面试套路,你懂几个?
- JavaScript学习笔记(BOM编程案例)
- 黑帽SEO关键字堆砌的原理以及作用
- 极速office(word)怎么添加着重号
- 个人网站与博客的区别
- java图书推荐推荐管理系统
- ANSYS Fluent UDF Manual 2020R2
热门文章
- Kubernetes 1.5部署sonarqube
- Activity的启动模式详解
- C0302 将一个代码块中的内容保存在文件中, 查看一个rpm包是否可以安装
- 多继承有什么坏处,为什么java搞单继承,接口为什么可以摈弃这些坏处
- php 调用java webservice
- 不使用 Ruby 的十个理由
- 带有无参数的存储过程
- java实现rsa欧几里得算法求d_RSA 加密算法的 java 实现
- anaconda学习python_python深度学习笔记1-Anaconda软件安装
- 新版刷卡_有信用卡的注意了,新版征信即将上线,以后刷卡消费要当心了!