㈠ web應用防火牆(WAF)的基本原理是什麼
WAF,又名Web應用防火牆,能夠對常見的網站漏洞攻擊進行防護,例如SQL注入、XSS跨站等;目前WAF最基本的防護原理為特徵規則匹配,將漏洞特徵與設備自身的特徵庫進行匹配比對,一旦命中,直接阻斷,這種方法能夠有效防範已知的安全問題,但是需要一個強大的特徵庫支持,特徵庫需要保證定期更新及維護;但是對於零日漏洞(未經公開的漏洞),就需要設備建立自學習機制,能夠根據網站的正常狀態自動學習建立流量模型,以模型為基準判斷網站是否遭受攻擊。
㈡ 常見的幾種web攻擊方式及原理
一、Dos攻擊(Denial of Service attack)
是一種針對伺服器的能夠讓伺服器呈現靜止狀態的攻擊方式。有時候也加服務停止攻擊或拒絕服務攻擊。其原理就是發送大量的合法請求到伺服器,伺服器無法分辨這些請求是正常請求還是攻擊請求,所以都會照單全收。海量的請求會造成伺服器停止工作或拒絕服務的狀態。這就是Dos攻擊。
二、跨站點請求偽造(CSRF,Cross-Site Request Forgeries)
是指攻擊者通過已經設置好的陷阱,強制對已完成認證的用戶進行非預期的個人信息或設定信息等某些狀態的更新。屬於被動攻擊。更簡單的理解就是攻擊者盜用了你的名義,以你的名義發送了請求。
一個CSRF最簡單的例子就是用戶A登錄了網站A在虛擬賬戶里轉賬了1000塊錢,用戶A在本地生成了網站A的cookie,用戶A在沒有關閉網站A的情況下有訪問了惡意網站B,惡意網站B包含請求A網站的代碼,利用了本地的cookie經過身份驗證的身份又向網站A發送了一次請求,這時你就會發現你在網站A的賬戶又少了1000塊。這就是基本的CSRF攻擊方式。
三、SOL注入攻擊
是指通過對web連接的資料庫發送惡意的SQL語句而產生的攻擊,從而產生安全隱患和對網站的威脅,可以造成逃過驗證或者私密信息泄露等危害。
SQL注入的原理是通過在對SQL語句調用方式上的疏漏,惡意注入SQL語句。