WEB安全基础知识

WAF全称为Web Application Firewall(网页应用防火墙)是一种专门设计用来保护web应用免受各种网络攻击的安全防护措施。它位于客户端与服务器之间,监控和过滤HTTP流量,从而拦截恶意请求、识别并防御常见的web攻击。

WAF的主要功能

    1. 防止SQL注入: WAF能够检测并阻止恶意SQL查询的执行,防止攻击者通过漏洞执行未授权的数据库操作。
    1. 防止跨站脚本攻击(XSS): WAF通过识别并过滤恶意脚本,防止攻击者通过web页面将恶意代码注入到其他用户的浏览器中。
    1. 防止跨站请求伪造(CSRF): 通过验证请求的来源,防止恶意网站发起伪造请求,欺骗用户执行不想做的操作。
    1. 保护web应用免受暴力破解攻击: WAF可以监控并限制暴力破解尝试,防止攻击者通过暴力猜解密码或验证码。
    1. 防止文件上传漏洞: WAF可检查上传文件的类型和内容,防止恶意文件被上传到服务器。
    1. 流量监控和阻止: 它能够检测到异常的流量模式,及时拦截大量请求或恶意bot的攻击,减轻DDoS(分布式拒绝服务)攻击的影响。

WAF的种类

WAF 分为嵌入型非嵌入型两大类:

嵌入型WAF -- 网站内置的WAF, 也叫做自定义WAF, 直接嵌入在代码中, 是开发人员为了网站的安全, 会在可能遭受攻击的地方增加了一些安全防御的代码, 比如过滤危险操作, 对潜在的威胁字符进行编码,转义等, 网站内置的WAF与业务更加契合。

非嵌入型WAF又分为这几种:硬件型WAF, 软件型WAF, 云WAF等, 以下是这几种WAF的一些介绍:

硬件型WAF:以硬件的形式部署在链路中, 支持多种部署方式, 当串联到链路中时可以拦截恶意流量,在旁路监听时,只记录攻击不拦截, 代表产品:imperva, 天清WAG等。

软件型WAF:以软件形式安装在服务器上, 可以直接检测服务器是否存在webshell, 是否有文件被创建等, 代表产品:安全够, D盾, 云锁等。

云WAF:一般以反向代理的形式工作, 通过配置NS或CNAME记录, 使得对网站的请求报文优先经过WAF主机, 经过WAF主机过滤后,被认为是无害的请求报文在发送给实际网站服务器进行请求, 可以认为是带防护功能的CDN, 代表产品:阿里云盾, 腾讯云WAF等。

相关推荐
ylscode2 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP2 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝4 小时前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
doiito7 小时前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务
一拳一个娘娘腔8 小时前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR8 小时前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
想你依然心痛8 小时前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
HackTwoHub9 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
MDM.Plus10 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
❀͜͡傀儡师10 小时前
2026年7月高危安全态势速览
安全