梭子鱼Web应用防火墙攻击规则库更新技术预览

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介:

跨站脚本(XSS)攻击可能会通过如下方式出现:用户输入的数据包含了恶意代码,而服务器没有将这些输入进行安全过滤便直接返回给用户浏览器,恶意代码因此被浏览器执行,攻击者从而可能控制浏览器DOM。这些包含恶意代码的输入可能利用以下几种形式实现:script tags, Data URI references, onEvent references, iframes等。梭子鱼Web应用防火墙可以帮助阻断跨站脚本(XSS)攻击。

梭子鱼Web应用防火墙跨站脚本(XSS)规则集把跨站脚本(XSS)签名划分为不同类别,每个类别下包含所有可能的违规漏洞。其中一个类别针对基于事件属性的跨站脚本(XSS)攻击,涵盖onmouseover、oninput、onformchange等事件类型,这些事件类型可以在OWASP上找到完整的事件处理程序列表。

然而不同浏览器对于服务器响应内的JavaScript脚本的识别可能有较大的差异。这也让攻击者因此采取许多模糊化的策略,例如在事件处理程序嵌入一些字符,比如嵌入回车键、空字符、换行符、编码过的字符、多余的括号、注释标记等。这些嵌入的字符可以分隔输入数据,让浏览器无法正确的识别脚本代码,以实现绕开安全过滤器的行拦截,服务器给浏览器的响应将仍然包含这些脚本代码,最终将被浏览器执行。

尽管不同平台或版本的浏览器可能对脚本的识别有些差异,但是梭子鱼对这些浏览器进行了适配,可以进行防护,以应对模糊攻击策略。用户可以在梭子鱼WEB应用防火墙的WEB管理页面的‘高级设置’-‘默认数据类型’页面查看到部分梭子鱼定义的特征类型,数据类型正则表达式里‘xNN’代表十六进制值表示的ASCII码字符,例如:退格(08)、回车(0D)等,可以点击‘详情’查看防护的事件处理程序的名称。

然而对于太老的浏览器或者引入新的事件处理程序(比如在HTML5中),可能会出现无法过滤的情况,但是这是极少。梭子鱼实验室通过监测威胁状况以及来自安全研究领域的贡献,不断更新数据类型。当新的数据类型进行更新时,各种型号之间对其采取的防护模式略有不同。梭子鱼Web应用防火墙460及以下的型号采取主动模式。而660及以上的型号采取被动模式,设备的管理人员在预览了更新的数据类型之后可根据其需求将其调整为主动模式。

对于这些数据类型的另一个考虑因素就是安全性与可用性之间的权衡。一个非常严格的数据类型策略可能会误拦一些正常的输入,比如我们如果定义阻断所有包含on*的事件的话,那么一些输入,比如one=xyz,可能被误判为跨站脚本(XSS)攻击。一种数据类型表达式也可用来阻止所有“on”后面跟随3-16个字符的输入(和其他的反规避构造一起),当然,这是一个更加严格的模式,可能会在案例中导致误判,比如某个输入中包含onerous=。以上讨论是基于黑名单参数输入防护策略。在使用白名单时,可以选择手动,或者通过自动分析器,这种错误根本就不会出现。目前最理想的状况就是修复代码。然而,如果不提供源代码,或者缺乏修复代码的专业知识和资源,修复代码就不可行。梭子鱼Web应用防火墙规则库和其它高级功能提供了一个针对这种应用层攻击的非常强大的修复机制,无需修改任何源代码。


原文发布时间为:2015-12-07

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。






相关文章
|
1月前
|
人工智能 前端开发 API
Gemini Coder:基于 Google Gemini API 的开源 Web 应用生成工具,支持实时编辑和预览
Gemini Coder 是一款基于 Google Gemini API 的 AI 应用生成工具,支持通过文本描述快速生成代码,并提供实时代码编辑和预览功能,简化开发流程。
137 38
Gemini Coder:基于 Google Gemini API 的开源 Web 应用生成工具,支持实时编辑和预览
|
3月前
|
SQL 存储 安全
Web 常见攻击方式及防御方法
【10月更文挑战第25天】Web 安全是一个复杂而重要的领域,攻击者不断寻找新的攻击方法,我们需要不断加强防御措施,提高安全意识,以保障 Web 应用的安全运行。通过采取多种防御手段的综合运用,我们可以有效地降低 Web 攻击的风险,保护用户的信息和财产安全。同时,随着技术的不断发展,我们也需要持续关注和研究新的安全威胁和防御方法,以应对不断变化的安全形势。
490 56
|
3月前
|
人工智能 安全 物联网
区块链技术的未来展望:去中心化金融(DeFi)与Web 3.0的融合
区块链技术的未来展望:去中心化金融(DeFi)与Web 3.0的融合
|
3月前
|
运维 安全 Linux
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
81 12
|
3月前
|
前端开发 JavaScript 搜索推荐
HTML与CSS在Web组件化中的核心作用及前端技术趋势
本文探讨了HTML与CSS在Web组件化中的核心作用及前端技术趋势。从结构定义、语义化到样式封装与布局控制,两者不仅提升了代码复用率和可维护性,还通过响应式设计、动态样式等技术增强了用户体验。面对兼容性、代码复杂度等挑战,文章提出了相应的解决策略,强调了持续创新的重要性,旨在构建高效、灵活的Web应用。
66 6
|
3月前
|
XML 前端开发 JavaScript
PHP与Ajax在Web开发中的交互技术。PHP作为服务器端脚本语言,处理数据和业务逻辑
本文深入探讨了PHP与Ajax在Web开发中的交互技术。PHP作为服务器端脚本语言,处理数据和业务逻辑;Ajax则通过异步请求实现页面无刷新更新。文中详细介绍了两者的工作原理、数据传输格式选择、具体实现方法及实际应用案例,如实时数据更新、表单验证与提交、动态加载内容等。同时,针对跨域问题、数据安全与性能优化提出了建议。总结指出,PHP与Ajax的结合能显著提升Web应用的效率和用户体验。
82 3
|
3月前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
200 2
|
3月前
|
Web App开发 网络协议 安全
基于Web攻击的方式发现并攻击物联网设备介绍
基于Web攻击的方式发现并攻击物联网设备介绍
64 4
|
3月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
111 1
|
3月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
138 4

热门文章

最新文章