网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


安恒信息专家浅析WEB应用防火墙绕过测试技术

2012-11-11 17:33 推荐: 浏览: 45 views 字号:

摘要: 安恒信息专家浅析WEB应用防火墙绕过测试技术 ——OWASP 2012中国峰会 伴随大量数据泄漏事件的发生,业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全,以成为掌握核心数据用户的首要关注点!这就是OWASP 2012中国峰会上,...

安恒信息专家浅析WEB应用防火墙绕过测试技术

——OWASP 2012中国峰会

伴随大量数据泄漏事件的发生,业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全,以成为掌握核心数据用户的首要关注点!这就是OWASP 2012中国峰会上,安恒信息总裁范渊先生对于现在国内整体WEB应用安全现状的点评,“现在我们所面临的是一个岌岌可危的网络安全环境,整个网络就好比《皇帝的新装》中的帝王毫无隐私!”

OWASP中国区副主席、安恒信息总裁范渊先生致开幕词

近些年,越来越多的人在关注云计算、物联网、移动互联,但是人们却忽略了一个本质的问题,那就是安全,在没有安全的保障下,一切新技术、新趋势就是一纸空谈,很容易成为新兴攻击方式诞生的温床,从而带来的是无尽的危害。在本届OWASP 2012中国峰会上,安恒信息安全服务部副总监吴卓群从产品及技术的角度,向大家描述了现在国内WEB应用安全所面临的实际情况,坦然的表达了自己的忧虑及看法。吴卓群指出,尽管目前在Web 应用的各个层面,都已经使用不同的技术来确保安全性,但是,由于WEB应用的天然开放性,以及各种WEB软硬件漏洞的不可避免性,加上网络攻击技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的调查显示,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱。但目前,绝大多数企业将大量的投资花费在网络和服务器的安全上,并没有从真正意义上保证Web应用本身的安全。

安恒信息的信息安全服务部副总监吴卓群

从产品的角度出发,现阶段对于WEB应用方面常常遇到的攻击方式及手法,WAF无疑是最专业防范产品,然而随着技术日新月异,攻击的方式再也不断变化,在这样一个盾与矛的较量中,防卫者还是处于一个被动的地步。针对这样的实际情况,吴卓群指出现在WAF产品实际的现状:

1. WAF是保护WEB应用安全的设备,但缺乏足够的安全测试,目前存在大量手段可完全绕过WAF的防护策略,对保护站点进行攻击

2. 针对waf的绕过手段可以通过不完善的策略进行绕过,但风险更大的是利用解析错误彻底绕过保护

3. 国内外无论是硬件WAF还是云WAF至少90%以上存在彻底绕过的风险

由此可见,防御需要变被动为主动,安恒信息作为国内最早研发国内第一代WEB应用防火墙的企业,逐渐认识到这点,经过多年的尝试安恒信息已经总结出一套可行的技术方法,有效解决了目前针对WAF的绕过保护问题,杜绝了攻击途径,实实在在使得WAF成为有效抵御WEB攻击的最佳防御方式。

游侠简评:

因为爱好的关系,和安恒信息的一些技术人员有过沟通,发现有不少渗透测试的员工,还是非常尽职尽责的。前一段有问我:知道哪家在用A厂家的WAF不?知道哪家在用B厂家的WAF不?好吧,一听就知道在研究绕过技术了。

以前遇到一个项目,国内的几大家做WAF的厂家都在,客户找了个有漏洞的程序放上,不出意外的,全部在当天晚上被专业的渗透测试团队拿下。所以,WAF的绕过技术研究,实际上也就是WAF加固的研究,还是很有意义的。

联系站长租广告位!

中国首席信息安全官


关闭


关闭