代码编织梦想

云上应用安全防护简介

应用安全包括:

  • 应用环境安全:漏洞扫描,代码托管,代码审计,安全加固
  • 应用配置安全:ACM配置加密
  • 应用保护:WAF (Web 应用防火墙)

防护应用安全产品

应用级防护产品主要包括:Web应用防火墙和网站威胁扫描系统

  1. Web应用防火墙
  2. 网站威胁扫描系统

Web应用安全概述

介绍一下:Web应用安全问题以及相关的防护方法和工具

Web应用安全问题

Web应用安全问题分为两种: 应用资源耗尽型攻击和Web通用型攻击

应用资源耗尽型攻击

  • 网页变卡,打不开:恶意海量肉鸡访问,网站资源被耗尽

Web通用型攻击

  • 网站数据被恶意爬取,短信流量被烂刷
  • 账号数据,资金损失
  • 获取服务器管理权限,篡改网站数据,页面

OWASP十大安全漏洞列表

OWASP: Open Web Application Security Project 开放式Web应用程序安全项目。OWASP 项目最具权威的就是其“十大安全漏洞列表”

Web组成部分及Web安全分类

Web应用通常有静态,动态脚本和编译过的代码组成。通常架设在Web服务器,用户在Web客户端或浏览器发送Http请求,请求经过Internet和Web服务器交互,Web服务器和数据库等其它动态内容再进行通信。所以Web应用组成就包括:服务器端,客户端和通信协议。所以根据Web应用的组成部分,Web安全也分为服务器端安全和客户端安全

  • 服务器端:SQL注入,文件上传,系统命令执行漏洞,权限漏洞
  • 客户端:XSS漏洞,CSRF漏洞,其它浏览器或插件漏洞

Web应用安全防护方法

Web应用安全防护工具:WAF 

Web应用防火墙WAF,通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。在应用层更有针对性的对Web应用攻击行为进行实施防御。而不是网络层

WAF保护应用安全

什么是WAF

WAF(Web应用防火墙):基于云安全大数据和智能计算能力实现运营+数据+攻防体系,综合打造网站应用/APP安全,提供以下保护

  • 防御SQL注入,XSS跨站脚本,常见Web服务器插件漏洞,木马上传,非授权核心资源访问等OWSAP常见web攻击
  • 0day漏洞快速防护
  • 过滤海量恶意CC攻击
  • 禁止恶意的接口滥刷,数据爬取
  • 避免网站资产数据泄露,保障网站的安全性与可用性

WAF发展历程

WAF产品功能

防Web应用攻击

防御OWASP的常见威胁,比如:防御SQL注入,XSS跨站脚本,常见Web服务器插件漏洞,后门隔离保护,命令注入等。帮助网站做隐身,网站源IP不对攻击者暴露。观察模式:对疑似攻击只报警,避免误杀

防CC攻击

CC攻击本质是消耗资源型的应用层攻击,过滤恶意的Bot流量,保障服务器性能正常

HTTP/HTTPS精准的访问控制

多维度进行流量的精准控制

HTTPS优化

网站一键HTTPS、HTTP回源降低源站负载压力

业务风控,日志服务

支持全量访问日志检索,一键查询

WAF优势

WAF工作原理

接入WAF后,不会暴露服务器源IP

 

WAF安全检测流程

WAF安全检测有一个顺序的。流量经过Web应用防火墙时,首先依次匹配精准访问控制中的规则,再进行CC攻击的检测,最后进行Web应用攻击防护

WAF应用场景

  • 网站变卡,打不开
  • 网站数据泄密,客户大量流式
  • 黑客利用网站被曝光的最新漏洞发动攻击
  • 获取服务器管理员权限,篡改网站数据,页面

WAF的不同版本

SQL注入及防护

原因,过程,现象,相关案例,常用的防护手段,WAF防护SQL注入

什么是SQL注入攻击

常见的注入攻击有多种,其中SQL注入是比较常见的一种。SQL注入是通过把SQL命令插入到Web表单递交或输入域或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。

SQL注入攻击造成的现象

  • 数据泄露:猜测并非授权者获得数据库信息
  • 数据篡改:破环数据库信息
  • 数据删除:数据库信息丢失
  • 修改系统访问授权:私自添加,修改系统或数据库账号,甚至对数据库服务器的完全控制

SQL注入过程

黑客对网站进行扫描,发现页面存在注入风险,通过手工构造SQL注入语句,渗透入侵数据,获取网站相关核心数据

SQL注入产生的原因

注入攻击的原因是Web应用程序中存在漏洞,开发人员编写的应用程序缺乏对数据库操作相关的输入数据进行合法性检查,导致应用程序按照攻击者的意图执行

SQL注入攻击语句 举例

SQL注入的防护手段

  • SQL语句预编译和绑定变量
  • 严格进行输入检查,检查参数的数据类型
  • 使用安全函数
  • 应用的异常信息应该给出尽可能少的提示
  • 不要适用管理员权限的数据库连接
  • 不要把机密信息直接存放
  • 采用一些工具或者网络平台检测是否存在SQL注入

WAF防护SQL注入

WAF就是一种检测和防护SQL注入的工具。Web应用攻击防护:防护SQL注入,XSS跨站等常见Web应用攻击,实时生效

  • WAF防护模式:拦截模式,告警模式
  • WAF防护规则策略:宽松,中等,严格

通过阿里云WAF防护SQL注入的步骤

网页防篡改及防护

什么是网站篡改

网站篡改,指的是攻击者利用网站漏洞恶意修改Web页面内容的攻击事件

网站篡改的动机

  • 存粹炫耀黑客技术
  • 增加自己网站点击率
  • 加入木马和病毒程序
  • 发布虚假信息获利
  • 骗取用户资料
  • 政治性的宣传

网站篡改的特点及危害

网站篡改的原因

网站篡改原因有主观原因和客观原因

主观原因

  • 密码管理不严格:未定期修改,强度不够,多人共用同一密码等
  • 补丁不及时更新
  • 不同人员参与到应用开发

客观原因

  • 系统负载,漏洞频出,各种应用漏洞(注入,CSRF,身份认证失效,安全配置错误,页面代码泄露等)都有可能造成网站被篡改
  • 漏洞发现,补丁公布的时间均过长
  • 钓鱼,木马,间谍软件

网站篡改的过程

黑客对网站进行渗透注入,获取管理员权限留下木马后门,在网站页面中留下暗链或者篡改网站页面内容,损害企业对外的公众形象或是造成经济损失

网站防篡改基本原理

网页防篡改基本原理:对web服务器上的页面文件进行监控,发现更改行为时及时阻止或者恢复。

通过WAF防网页篡改

WAF支持网页防篡改功能,WAF可以对指定的敏感页面进行缓存,缓存后即使源站页面内容被恶意篡改,WAF也会返回预先缓存好的页面内容,从而确保正常用户看到正确的页面。

WAF防网页篡改演示

CC攻击及方法

CC攻击以及WAF对CC攻击的防护

什么是CC攻击

CC攻击是DDoS攻击的一种,主要用来攻击页面的,可以分为:

  • 单主机虚拟多IP地址
  • 代理服务器攻击
  • 僵尸网络攻击

CC层是针对HTTP 七层的应用层的攻击,有以下特点

  • CC攻击的IP都是真实的,分散的
  • CC攻击的数据包都是正常的数据包
  • CC攻击的请求,全都是有效的请求,无法拒绝的请求
  • CC攻击的是网页,服务器什么都可以连接,ping也没问题,但是网页就是访问不了

CC攻击的原理及危害

网站被竞争对手攻击或者黑客敲诈勒索,发起大量的恶意CC请求,长时间占用消耗服务器的核心资源,造成服务器性能瓶颈,如CPU、内存、带宽,导致网站业务响应慢或是无法正常提供服务。

影响CC攻击效果的主要因素:

  • 网站的CPU、内存、带宽
  • CC攻击选择的目标页面的复杂度,页面消耗服务器资源的复杂度
  • 攻击发起的时间,如果攻击行为发生在网站本身访问量比较大的时间段,更容易成功

所以防护CC攻击,也主要从以上3个方面来防护

防御CC攻击的方法

  • 禁止网站代理访问
  • 尽量将网站做成静态页面
  • 限制连接数量
  • 修改最大超时时间
  • 域名欺骗解析
  • 更改Web端口
  • 保留访问日志:分析同一IP密集访问,同一URL访问流量激增等情况
  • 工具:Web应用防火墙WAF

WAF防止CC攻击

WAF支持防止CC攻击功能,通过独家算法防护引擎,结合大数据,秒级拦截机器恶意CC攻击。

WFA防护CC攻击,有两种防护模式选择:

  • 防护模式:针对特别异常的请求进行拦截,误杀比较少
  • 防护-紧急模式:高效拦截CC攻击,误杀会比较多

CC自定义防护规则:支持在控制台自定义对于特定路径URL的访问频率限制

WAF防护CC攻击的步骤:

WAF进数据风控防护

关键业务欺诈场景

这些关键业务,从流程设计的维度,可以划分为:

  • 账户体系安全
  • 交易体系安全
  • 支付体系安全
  • 用户信息存储安全

这些安全风险体现在各种环节

  • 垃圾注册
  • 垃圾内容
  • 盗卡支付
  • 营销作弊
  • 撞库
  • 暴力破解

关键业务欺诈场景--垃圾注册

垃圾注册是指通过程序或者人力大量注册非活跃账号。在平台推广拉新客户互动时,常常吸引网络上的“羊毛党”通过注册机和虚假账号,人工打码等方式批量注册一批账号,进入平台批量套取优惠。

关键业务欺诈场景--登录撞库

登录撞库:登录网络的欺诈分子利用互联网中大量泄露的用户密码进行尝试,如果账户,密码不幸在泄露库中,可能导致关联平台上的账号被不法分子盗用

关键业务欺诈场景--营销作弊

营销作弊:平台推广活动时,欺诈分子会通过模拟器,虚假手机号码,人工打码等方式绕过平台验证,批量套取优惠,给平台造成不必要的资金损失。

通过WAF进行数据风控

数据风控为WAF基于阿里云的大数据能力,通过业内领先的风险决策引擎,结合人机识别技术,防止关键业务欺诈行为

数据风控在WAF高级版及以上提供

接入数据风控,不需要服务器或客户端做任何改造,只需要接入WAF,即可轻松获取风控能力

WAF进行数据风控原理

WAF进行数据风控流程

漏洞扫描服务

阿里云漏洞扫描CSS是数字化转型中的最佳互联网扫描实践,可自动发现网站关联资产,并进行高效精准的自动化漏洞渗透尝试和敏感内容检测等,保障上线前和线上应用环境的安全性

漏洞扫描结合情报大数据,白帽渗透测试实战经验和深度机器学习,提供全面资产威胁检测

使用漏洞扫描服务

网站威胁扫描系统

网站威胁扫描系统概念及功能

网站威胁扫描系统(WTI)是数字化转型中的最佳互联网扫描实践,可帮助自动发现网站关联资产,并进行高效精准的自动化漏洞渗透测试和敏感内容检测等,保障上线前和线上应用环境的安全性

  1. 全面防线关联资产
  2. 深度专业的漏洞扫描
  3. 敏感,违规违法内容检测
  4. 篡改挂马检测
  5. 直观的风险扫描报告
  6. 封住风险验证和修复指导

网站威胁扫描系统-架构

网站威胁扫描系统-产品优势

网站威胁扫描系统-应用场景

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamstar613/article/details/120365152

云上服务器安全_weixin_34195142的博客-爱代码爱编程

2019独角兽企业重金招聘Python工程师标准>>> 关于云上服务器安全得详细内容: 云上服务器安全   企业网络系统遭受恶意攻击事件频出,《网络安全法》的执行,让没有做好网络安全保护工作的企业背负了法律责任。这就是说,有可能你是受害者,还要受到法律处罚。 传统服务器因保护不全面,在受到攻击时

安全系列之网页防篡改系统_qq_29718979的博客-爱代码爱编程

3手里的一个云项目交付了半年,客户业务系统也顺利通过了云上等保测评二级,为了提前为等保三级做好准备,客户拟购买一些云上的安全服务,需要服务商提供安全咨询,为此我们认真研究了一系列安全服务的工作原理,以提升安全服务能力。今天我们从比较简单的网页防篡改系统入手。   一、为什么需要网页防篡改 网页相当于是一个企业的脸面,如果发生了黑客恶意修改网页,造成恶

阿里云的云安全防护产品有哪些?都有什么作用?_xtyly1的博客-爱代码爱编程

阿里云的云安全防护产品有哪些?都有什么作用?   阿里云的云安全防护产品有以下产品,不同的云安全防护产品有不同的安全防护作用,分别详细介绍如下 (注:点击产品名称,可进入产品页购买或了解详情): DDoS高防IP:针对互联网服务器(包括非阿里云主机)在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的付费服务,用户可通过配置高防IP,将攻击流量

安全产品-目录&总述-爱代码爱编程

写在最前:     这个系列文章是我为了解安全产品的一份学习笔记,其中大部分资料来源于网络(百科,各公司白皮书等等,若侵权请联系我删除),因为来源复杂就不标注来源,若您有需要,也可以随意复制这些文章中的内容     文章中会

网页防篡改使用详解及体会-爱代码爱编程

    最近有个客户需要使用网页防篡改服务,顺道学习了天翼云上网页防篡改产品的部署及使用,本文对网页防篡改服务的工作原理及部署过程及部署中需要注意的方面进行回顾。 一、网页防篡改工作原理 1、系统架构 网页防篡改服务的经典场景如上图,在客户需要防护的vpc内新建一台云主机,使用网页防篡改镜像加载即可,保证防篡改服务器云主机与准备防护的客户网站云主

阿里云ACA课程之云上安全防护-爱代码爱编程

阿里云ACA课程之云上安全防护 互联网常见形式及安全威胁安全形势常见威胁阿里云安全体系阿里云云安全体系十年攻防,一朝成盾云盾的基础DDOS防护安全相关的概念DDoS攻击是什么基础DDos防护的实现流程基础DDos防护的主要功能高防IP高防IP接入流程应用防火墙和安骑士阿里云云盾-WAF云盾.WAF的发展历程云盾-WAF的应用场景云盾-WAF的工作原

云上应用安全-爱代码爱编程

目录 课程介绍1.WEB应用安全概述web应用安全问题示例web应用安全问题OWASP十大安全漏洞列表(2017年)web组成部分及web安全分类应用安全防护方法应用安全防护工具2.通过阿里云WAF保护应用安全什么是阿里云WAF?阿里云WAF的产品功能阿里云WAF的竞争优势1.资源能力2.数据模型阿里云WAF工作原理阿里云WAF应用防火墙安全监测流

阿里云在安全方面有哪些防护措施-爱代码爱编程

在云时代,如何更好地保证服务器的安全?这是一个所有开发者都绕不开的课题。面对DDoS、程序漏洞、暴力破解等现代黑客手段,如何使您的网站/应用长期保持稳定健康的运行状态;减少或免受这些攻击所带来的负面影响;防患于未然,从源头消除这些问题,是每个开发者都非常关心的问题。阿里云是对云上安全进行了大力投入研发,基于此,这也成为其吸引越来越多的客户入驻阿里云的重要原

云上网络安全防护-爱代码爱编程

网络安全原理 TCP/IP协议介绍 TCP/IP协议是当前最流行的互联网协议,没有TCP/IP协议,就没有互联网 网络通信五元组 网络通信五元组:源IP,源端口,协议,目标端口,目标IP 端口的打开需要遵循信息安全最小化的原则   常见的网络安全问题 各种网络攻击 DDoS:拒绝服务式攻击,业务被冲断CC慢速攻击SQL注入攻击网络