Web 应用程序防火墙 (WAF) 旨在阻止 7 种最常见的攻击类型

Web 应用程序防火墙(WAF) 是阻止 Web 应用程序攻击的第一道防线之一。WAF 通过过滤、监控和分析 Web 应用程序与互联网之间的超文本传输​协议 (HTTP) 和安全超文本传输​​协议 (HTTPS) 流量来保护 Web 应用程序和网站。

WAF 可保护 Web 应用程序免受跨站点伪造、服务器端请求伪造、文件包含和 SQL 注入等攻击。

以下是 WAF 旨在缓解的七种最常见的攻击。

注入攻击

一段时间以来，SQL、NoSQL、操作系统和轻量级目录访问协议 (LDAP) 注入等注入缺陷一直是黑客的最爱。当可疑数据作为命令或查询插入到应用程序中时，就会出现注入缺陷。这些恶意数据可能会欺骗解释器执行非预期的命令或在未经适当授权的情况下访问数据。

最常见的代码注入是SQL 注入，这是一种通过向数据库服务器发送格式错误的代码来完成的攻击。这是一种简单而快速的攻击类型，几乎任何能够访问互联网的人都可以完成，因为 SQL 注入脚本可供*载下**并且很容易获取。

可预测的资源位置攻击

可预测的资源位置是一种用于发现隐藏的网站内容和功能的攻击技术。通过*力暴**破解进行有根据的猜测，攻击者可以猜测不适合公众查看的文件和目录名称。*力暴**破解文件名很容易，因为文件/路径通常具有共同的命名约定并驻留在标准位置。这些可以包括临时文件、备份文件、日志、管理站点部分、配置文件、演示应用程序和示例文件。这些文件可能会泄露有关网站、Web 应用程序内部结构、数据库信息、密码、计算机名称、其他敏感区域的文件路径等的敏感信息。

这不仅可以帮助攻击者识别可能导致其他站点漏洞的站点表面，而且还可能向攻击者泄露有关环境或其用户的有价值的信息。可预测资源位置也称为强制浏览、强制浏览、文件枚举和目录枚举。

HTTP DDoS（洪水）

HTTP Flood 是黑客用来攻击 Web 服务器和应用程序的一种分布式拒绝服务攻击方法。HTTP Floods 的工作原理是在网页上定向大量 HTTP 请求，使目标服务器的请求过载。

在HTTP Flood中，HTTP 客户端（例如 Web 浏览器）与应用程序或服务器交互以发送 HTTP 请求。请求可以是“GET”或“POST”。攻击的目的是迫使服务器分配尽可能多的资源来服务攻击，从而拒绝合法用户访问服务器资源。此类请求通常通过僵尸网络集体发送，从而增加攻击的整体威力。

这些 DDoS 攻击可能是当今 Web 服务器面临的最先进的非漏洞威胁之一。网络安全设备很难区分合法 HTTP 流量和恶意 HTTP 流量，如果处理不当，可能会导致大量误报检测。基于速率的检测引擎也无法成功检测这些类型的攻击，因为 HTTP 洪水的流量可能低于检测阈值。因此，有必要使用多种参数检测，包括基于速率的和速率不变的。

如今绝大多数互联网流量都是加密的。大多数 HTTP Flood 攻击都是 HTTPS Flood。加密的洪水不仅因为处理它们需要大量的服务器资源而更加有效，而且还增加了缓解此类攻击的复杂性，因为 DDoS 防御通常无法在不完全解密所有流量的情况下检查 HTTPS 请求的内容。

HTTP 请求*私走**

HTTP 请求*私走**，也称为 HTTP 异步攻击，是一种干扰网站处理从一个或多个用户接收的 HTTP 请求序列的方式的攻击技术。它允许攻击者将请求“*私走**”到 Web 服务器，而攻击者和 Web 服务器之间的设备不知道这一点。HTTP 请求*私走**漏洞本质上通常很严重，它允许攻击者绕过安全控制、干扰其他用户会话、获得对敏感数据的未经授权的访问并直接危害其他应用程序用户。

文件路径遍历/目录遍历

文件路径遍历攻击（也称为目录遍历）是一种 Web 安全漏洞，允许攻击者访问存储在 Web 根文件夹之外的文件和目录。这些文件可能包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件。

攻击者通过欺骗 Web 服务器或服务器上运行的 Web 应用程序返回存在于 Web 根文件夹之外的文件来实现文件路径遍历攻击。

服务器端请求伪造 (SSRF)

服务器端请求伪造 (SSRF) 是指攻击者利用 Web 安全漏洞诱导服务器端应用程序向攻击者选择的任意域发出 HTTP 请求。

在此类攻击中，威胁行为者可以滥用服务器上的功能来读取或更新内部资源。攻击者可以提供或修改 URL，服务器上运行的代码将读取或提交数据到该 URL，并使攻击者能够读取服务器配置（例如 AWS 元数据）、连接到内部服务（例如支持 HTTP 的数据库）或对内部执行发布请求不打算公开的服务。

成功的SSRF攻击通常会导致未经授权的操作或对组织内数据的访问，无论是在易受攻击的应用程序本身还是在应用程序可以与之通信的其他后端系统上。在某些情况下，SSRF 漏洞可能允许攻击者执行任意命令。在某些情况下，导致与外部第三方系统连接的 SSRF 漏洞可能会导致恶意向前攻击，这些攻击将被视为源自托管易受攻击的应用程序的组织。

点击劫持

点击劫持是一种发生在客户端的攻击，其目的是诱骗应用程序用户单击与他们感知不同的内容。黑客通过将恶意软件或恶意代码隐藏在网站上看似合法的控件中（主要是第三方服务的 JavaScript）来执行此类攻击，这些服务通常不受应用程序标准安全工具监控，从而利用应用程序供应链中的漏洞。

这是攻击者用来记录受感染用户在互联网上的点击的恶意技术。这可用于将流量引导至特定站点或使用户喜欢或接受 Facebook 应用程序。更邪恶的目的可能是收集浏览器上保存的敏感信息（例如密码）或安装恶意内容。

WAF 如何防范这些常见攻击？

WAF 利用各种功能和机制来保护应用程序免受各种攻击。这可以包括具有自动误报纠正的动态安全策略、应用程序层 7 DDoS保护、API 发现和保护、机器人缓解等。

大多数 WAF 利用消极安全模型，该模型定义了不允许的内容，同时隐式允许其他所有内容。由于攻击签名可能通过将合法流量检测为攻击流量而产生误报，因此此类规则往往过于简单化，试图检测明显的攻击。其结果是针对最低公分母的保护。

需要一个积极的安全模型来定义允许的类型和值的集合，以在基于签名的保护无法填补空白的情况下提供全面的保护。对于 SQL 注入，积极的安全模型会筛选用户输入以查找已知的攻击模式，并利用逻辑来区分合法的用户输入和注入缺陷。积极的安全模型对于成功降低 SSRF 相关风险也至关重要。

在评估可以缓解这些常见攻击和漏洞的 WAF 时，需要考虑以下六项关键功能：

• 完整的 API 发现和保护，为本地和云托管环境提供所有形式的 API 滥用和操纵的可见性、实施和缓解
• 内置HTTP DDoS防护，阻止应用层DDoS攻击
• 集成机器人管理，用于检测和缓解模仿人类行为的复杂的第 3 代和第 4 代机器人
• 数据泄露防护机制可自动屏蔽敏感用户数据，例如个人身份信息 (PII)
• 消极和积极安全模型的结合，使用先进的行为分析技术来检测恶意威胁
• 策略细化引擎，能够持续优化安全策略并适应应用、流量和威胁格局的变化