如今的互聯(lián)網(wǎng)中90%的應(yīng)用都架設(shè)在Web平臺(tái)上，網(wǎng)上銀行、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)游戲，以及企業(yè)網(wǎng)站等，成為生活和工作必不可少的一部分。所以，Web安全成為繼操作系統(tǒng)與業(yè)務(wù)軟件安全之后又一熱點(diǎn)，并且持續(xù)升溫�？v觀安全事件，重大的Web攻擊層出不窮，網(wǎng)絡(luò)安全從業(yè)者開始跟黑客們?cè)谶@一焦點(diǎn)領(lǐng)域不斷的對(duì)抗。由于Web平臺(tái)的多樣性，以及HTTP協(xié)議及數(shù)據(jù)庫(kù)語言的靈活性，Web攻擊形式也五花八門，主要的攻擊方法有SQL注入、跨站腳本（XSS）、CC(Challenge Collapsar)等。

小編分別針對(duì)這三種攻擊進(jìn)行了針對(duì)性的方案。

目前很多Web攻擊防護(hù)產(chǎn)品在處理SQL注入和跨站腳本攻擊的問題上，都是采用傳統(tǒng)入侵檢測(cè)方法，即基于正則表達(dá)式的規(guī)則匹配模式。這種方法在應(yīng)對(duì)SQL注入和跨站腳本攻擊時(shí)存在很大的缺陷：一是SQL注入和跨站腳本有很多種符合語法結(jié)構(gòu)的寫法并可以進(jìn)行多種方式的編碼，這樣就能輕易繞過正則表達(dá)式的規(guī)則匹配模式，在檢測(cè)設(shè)備上出現(xiàn)漏報(bào)；二是基于正則表達(dá)式的規(guī)則匹配模式是在攻擊發(fā)生后進(jìn)行攻擊分析并提取特征，然后對(duì)再次發(fā)生的同類攻擊進(jìn)行防護(hù)，這樣的方法對(duì)0Day攻擊無能為力。而且隨著攻擊特征的不斷增加，攻擊防護(hù)對(duì)檢測(cè)設(shè)備性能也產(chǎn)生了極大的影響。

CC攻擊防護(hù)的關(guān)鍵在能夠識(shí)別和區(qū)分出正常用戶的訪問和惡意的攻擊。對(duì)于惡意攻擊的識(shí)別，采用如下四種方法選擇使用：一是Auto-js-cookie：網(wǎng)關(guān)向客戶端發(fā)送head帶set-cookie的響應(yīng)報(bào)文，一些程序自動(dòng)發(fā)起的攻擊則無法正確回應(yīng)。二是Auto-redirect：網(wǎng)關(guān)向客戶端返回重定向報(bào)文，在重定向的url中加入cookie后綴，一些程序自動(dòng)發(fā)起的攻擊則無法正確回應(yīng)。三是Manual-confirm：網(wǎng)關(guān)在回應(yīng)報(bào)文中嵌入提示信息，并等待人工確認(rèn)，通過回應(yīng)的確認(rèn)報(bào)文來驗(yàn)證源IP的合法性，程序自動(dòng)發(fā)起的攻擊和僵尸網(wǎng)絡(luò)都無法進(jìn)行這種確認(rèn)。四是Manual-CAPTCHA：網(wǎng)關(guān)在回應(yīng)報(bào)文中嵌入一個(gè)問答框做認(rèn)證來驗(yàn)證源IP的合法性，問題可以是二元加減或4字符隨機(jī)字符串，進(jìn)一步加大了確認(rèn)難度，程序自動(dòng)發(fā)起的攻擊和僵尸網(wǎng)絡(luò)都無法進(jìn)行這種確認(rèn)。同時(shí)，方案支持對(duì)開放代理的識(shí)別，用戶可以選擇對(duì)通過開放代理訪問的速率進(jìn)行限制。

外鏈檢查的目的是要杜絕某些網(wǎng)頁篡改、網(wǎng)頁掛馬的行為，例如，在網(wǎng)頁中新添加的對(duì)外資源（例如frame、其他服務(wù)器上的js、css文件等等）的引用。當(dāng)開啟外鏈檢查時(shí)，安全網(wǎng)關(guān)會(huì)對(duì)Web服務(wù)器應(yīng)答報(bào)文的內(nèi)容進(jìn)行分析，找到不符合外鏈規(guī)則的frame、iframe、link、object、applet、script等HTML標(biāo)簽。有些時(shí)候，Web服務(wù)器確實(shí)需要對(duì)外引用某些資源，例如js文件、css文件。此時(shí)可以配置允許對(duì)外引用的白名單，表示位于白名單中的資源是可信的。

目錄訪問控制主要是為了防止Web Shell和敏感信息泄露。例如Web服務(wù)器允許上傳圖片文件，但是由于過濾不嚴(yán)格，攻擊者通過這個(gè)機(jī)制上傳了惡意代碼（Web Shell）。為了發(fā)現(xiàn)這樣的惡意上傳，可以把上傳的圖片保存的目錄設(shè)置成static。這樣安全網(wǎng)關(guān)就會(huì)檢查用戶訪問請(qǐng)求POST數(shù)據(jù)和URI中是否有動(dòng)態(tài)可執(zhí)行代碼，以及請(qǐng)求文件的后綴名是否已知的動(dòng)態(tài)腳本后綴（例如.asp、.php、.js等等）；同時(shí)服務(wù)器的應(yīng)答報(bào)文也會(huì)被檢查是否有動(dòng)態(tài)可執(zhí)行代碼。Web路徑下，有時(shí)候包含數(shù)據(jù)庫(kù)連接文件（里邊包含了數(shù)據(jù)庫(kù)路徑、用戶名、口令等信息），這些文件是被Web服務(wù)器上其他文件引用的，不允許用戶直接訪問他們。此時(shí)，就可以把它們的訪問控制模式配置成deny。

在部署上，小編建議將安全網(wǎng)關(guān)直接部署在Web服務(wù)器前，對(duì)Web服務(wù)器進(jìn)行防護(hù)，可以滿足企業(yè)用戶日常的Web服務(wù)器防護(hù)需求。

標(biāo)簽： cc攻擊 cc攻擊防護(hù) web服務(wù)器 安全 代碼 服務(wù)器 服務(wù)器防護(hù) 互聯(lián)網(wǎng) 腳本 企業(yè) 企業(yè)網(wǎng)站 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)站 問題 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。