WEB安全基础知识

WAF全称为Web Application Firewall(网页应用防火墙)是一种专门设计用来保护web应用免受各种网络攻击的安全防护措施。它位于客户端与服务器之间,监控和过滤HTTP流量,从而拦截恶意请求、识别并防御常见的web攻击。

WAF的主要功能

    1. 防止SQL注入: WAF能够检测并阻止恶意SQL查询的执行,防止攻击者通过漏洞执行未授权的数据库操作。
    1. 防止跨站脚本攻击(XSS): WAF通过识别并过滤恶意脚本,防止攻击者通过web页面将恶意代码注入到其他用户的浏览器中。
    1. 防止跨站请求伪造(CSRF): 通过验证请求的来源,防止恶意网站发起伪造请求,欺骗用户执行不想做的操作。
    1. 保护web应用免受暴力破解攻击: WAF可以监控并限制暴力破解尝试,防止攻击者通过暴力猜解密码或验证码。
    1. 防止文件上传漏洞: WAF可检查上传文件的类型和内容,防止恶意文件被上传到服务器。
    1. 流量监控和阻止: 它能够检测到异常的流量模式,及时拦截大量请求或恶意bot的攻击,减轻DDoS(分布式拒绝服务)攻击的影响。

WAF的种类

WAF 分为嵌入型非嵌入型两大类:

嵌入型WAF -- 网站内置的WAF, 也叫做自定义WAF, 直接嵌入在代码中, 是开发人员为了网站的安全, 会在可能遭受攻击的地方增加了一些安全防御的代码, 比如过滤危险操作, 对潜在的威胁字符进行编码,转义等, 网站内置的WAF与业务更加契合。

非嵌入型WAF又分为这几种:硬件型WAF, 软件型WAF, 云WAF等, 以下是这几种WAF的一些介绍:

硬件型WAF:以硬件的形式部署在链路中, 支持多种部署方式, 当串联到链路中时可以拦截恶意流量,在旁路监听时,只记录攻击不拦截, 代表产品:imperva, 天清WAG等。

软件型WAF:以软件形式安装在服务器上, 可以直接检测服务器是否存在webshell, 是否有文件被创建等, 代表产品:安全够, D盾, 云锁等。

云WAF:一般以反向代理的形式工作, 通过配置NS或CNAME记录, 使得对网站的请求报文优先经过WAF主机, 经过WAF主机过滤后,被认为是无害的请求报文在发送给实际网站服务器进行请求, 可以认为是带防护功能的CDN, 代表产品:阿里云盾, 腾讯云WAF等。

相关推荐
zhu12893035562 小时前
网络安全的重要性与防护措施
网络·安全·web安全
渗透测试老鸟-九青2 小时前
面试经验分享 | 成都渗透测试工程师二面面经分享
服务器·经验分享·安全·web安全·面试·职场和发展·区块链
网络研究院2 小时前
ChatGPT 的新图像生成器非常擅长伪造收据
网络·人工智能·安全·chatgpt·风险·技术·欺诈
virelin_Y.lin3 小时前
系统与网络安全------Windows系统安全(7)
windows·web安全·系统安全·ftp
写代码的小王吧3 小时前
【Java可执行命令】(十)JAR文件签名工具 jarsigner:通过数字签名及验证保证代码信任与安全,深入解析 Java的 jarsigner命令~
java·开发语言·网络·安全·web安全·网络安全·jar
夜风Sec4 小时前
Burp靶场 - HTTP走私请求【Part2】
安全
apcipot_rain6 小时前
【数据库原理及安全实验】实验一 数据库安装与创建
数据库·安全
爱上大树的小猪7 小时前
【前端安全】模板字符串动态拼接HTML的防XSS完全指南
前端·安全·html
独行soc7 小时前
2025年渗透测试面试题总结-某腾某讯-技术安全实习生升级(题目+回答)
java·python·安全·web安全·面试·职场和发展·红蓝攻防