返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
浅谈送体验金的网站库防火墙技术及应用
2018-08-16 杭州美创 / 柳遵梁

       送体验金的网站库防火墙仿佛是近几年来出现的一款新的送彩金的手机娱乐平台设备,但事实上历史已经很长。2010年,Oracle公司在收购了Secerno公司,在2011年2月份正式发布了其送体验金的网站库防火墙产品(database firewall),已经在市场上出现很多年头了。

 

        由于送体验金的网站库防火墙这个词通俗易懂,和防火墙、Web防火墙、下一代防火墙等主流送彩金的手机娱乐平台产品一脉相承,很多公司也就把自己的送体验金的网站(库)送彩金的手机娱乐平台产品命名为送体验金的网站库防火墙。每家公司对于送体验金的网站库防火墙的定义各不相同,侧重点也不一样。也就是说,虽然大家都在说送体验金的网站库防火墙,很有可能是两个完全不同的送体验金的网站(库)送彩金的手机娱乐平台设备。 

 

什么是送体验金的网站库防火墙?

送体验金的网站库防火墙顾名思义是一款送体验金的网站(库)送彩金的手机娱乐平台设备,从防火墙这个词可以看出,其主要作用是做来自于外部的危险隔离。换句话说,送体验金的网站库防火墙应该在入侵在到达送体验金的网站库之前将其阻断,至少需要在入侵过程中将其阻断。 

 

如何定义外部?

至于如何定义外部威胁,则需要对于送体验金的网站库边界进行明确的界定,而这个送体验金的网站库边界的界定则具有多变性。第一种定义,从极限的角度来看,由于现在网络边界的模糊,可以把所有来自于送体验金的网站库之外的访问都定义为外部。如果是这个定义来看,防火墙承载的任务非常繁重,可能不是一个送彩金的手机娱乐平台设备所能够承担的。第二种定义是送体验金的网站中心和运维网络可以被定义为内部访问,其他访问定义为外部访问,让防火墙不需要去承载内部运维送彩金的手机娱乐平台和员工送彩金的手机娱乐平台,从而更好的工作。 

 

综合看来,我们采用第二种定义,送体验金的网站库防火墙主要承载送体验金的网站中心和运维网络之外的送体验金的网站(库)送彩金的手机娱乐平台工作。 

 

如何定义送体验金的网站库防火墙? 

一旦准确的定义了什么是外部之后,什么是送体验金的网站库防火墙就比较清楚了。运维网络之外的访问我们都可以定义为业务访问。

 

送体验金的网站库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷所导致的送体验金的网站(库)送彩金的手机娱乐平台问题的送彩金的手机娱乐平台设备或者产品。送体验金的网站库防火墙一般情况下部署在应用程序送体验金的官网器和送体验金的网站库送体验金的官网器之间,采用送体验金的网站库协议解析的方式完成。但这并不是唯一的实现方式,你可以部署在送体验金的网站库外部,可以不采用协议解析。从这个定义可以看出,送体验金的网站库防火墙其本质目标是给业务应用程序打补丁,避免由于应用程序业务逻辑漏洞或者缺陷影响送体验金的网站(库)送彩金的手机娱乐平台。 

 

常见的应用程序业务逻辑漏洞和缺陷:

1、SQL注入攻击

2、cc攻击

3、非预期的大量送体验金的网站返回

4、敏感送体验金的网站未脱敏

5、频繁的同类操作

6、超级敏感操作控制

7、身份盗用和撞库攻击

8、验证绕行和会话劫持

9、业务逻辑混乱

 

送体验金的网站库防火墙的常见应用场景 

1、SQL注入攻击

SQL注入攻击是送体验金的网站库防火墙的核心应用场景,甚至可以说送体验金的网站库防火墙就是为了防御SQL注入攻击而存在的。SQL注入攻击是很古老的攻击手段,特别是互联网普及之后,一直是主流的送彩金的手机娱乐平台攻击手段。需要特别注意的是,SQL注入攻击的发生不是由于送体验金的网站库的漏洞导致,而是因为应用程序漏洞和缺陷导致,但是受到伤害和影响的则是送体验金的网站库。我们的业务应用程序是水平参差不齐的公司和工程师撰写,其代码质量会远远比不上Oracle,微软等大牌公司的产品,SQL注入以及其他可能的漏洞和缺陷存在是必然的事件。甚至可以认为,只要复杂度超越一定程度的任何业务应用程序都会存在SQL注入漏洞。

 

SQL注入攻击之所以难以防御,其主要原因是其攻击是通过业务应用程序发起的,传统上部署的所有送彩金的手机娱乐平台措施对于SQL注入攻击基本无效,使其可以简单到达企业最为核心的送体验金的网站库内部。 

 

2、cc攻击

即使一个没有任何缺陷的应用程序也可以简单的发起cc攻击。每个应用程序都会存在资源消耗特别高的某些操作,入侵者只要同时调度这些高资源消耗的操作,就会导致送体验金的网站库送体验金的官网器失去响应。  

 

3、非预期的大量送体验金的网站返回

由于应用程序缺陷,在某些操作中返回了计划之外的大量送体验金的网站。大量送体验金的网站返回很容易引起送彩金的手机娱乐平台性问题。 

 

4、敏感送体验金的网站未脱敏

由于历史原因,现有应用程序很少对于敏感送体验金的网站进行脱敏显示。为了遵循新的送彩金的手机娱乐平台法规和规则,为了更好的保护客户和公司,在很多情况下我们需要对于应用程序返回送体验金的网站进行脱敏。 

 

5、频繁的同类操作

通过应用程序不断的频繁获取敏感信息资料是敏感信息泄露的主要通道之一,送体验金的网站库防火墙可以通过延迟,通知等响应方式来降低此类送体验金的网站泄露风险。 

 

6、超级敏感操作控制

很多应用程序往往存在着权限控制漏洞,无法控制某些敏感操作。比如统方,比如绝密资料的获取等等。

 

7、身份盗用和撞库攻击

撞库攻击是互联网最大的送彩金的手机娱乐平台风险之一,绝大部分撞库攻击都是为了身份盗用。

 

8、验证绕行和会话劫持

由于应用程序缺陷导致起验证送彩金的手机娱乐平台机制没有生效,比如验证码等,或者会话被劫持导致业务应用程序被非法控制。

 

9、业务逻辑混乱

由于应用程序漏洞导致业务逻辑混乱,比如在审批中不检查前置流程的存在性和合规性,直接触发下一个流程。

 

 

送体验金的网站库漏洞检测防御和送体验金的网站库防火墙 

大家可以观察到,很多送体验金的网站库防火墙都具有送体验金的网站库漏洞检测和虚拟布丁等功能,甚至于把送体验金的网站库漏洞检测防御变成了送体验金的网站库防火墙的核心功能。这个是对于送体验金的网站库防火墙理解的典型误区,送体验金的网站库防火墙的核心是检测和防御业务应用程序漏洞而不是送体验金的网站库漏洞。

 

当然送体验金的网站库防火墙部署送体验金的网站库漏洞检测也有其逻辑基础:当入侵者通过业务应用程序漏洞入侵送体验金的网站库,特别是SQL注入攻击的时候,入侵者为了获取更大的入侵收益,往往会利用送体验金的网站库漏洞进行进一步攻击。从紧密流程环节来看,在很多场合下,送体验金的网站库漏洞攻击可以被看作SQL注入攻击的一个环节,一个成果扩大环节。 

 

 

送体验金的网站库防火墙和Web防火墙

 

Web防火墙 

很多人可能会问,Web防火墙也能够防御SQL注入攻击,我为什么还要部署送体验金的网站库防火墙?首先我们来看看WAF能做些什么:

1、SQL注入攻击

2、XSS攻击

3、CSRF攻击

4、SSRF攻击

5、Webshell后门

6、弱口令

7、反序列化攻击

8、命令/代码执行

9、命令/代码注入

10、本地/远程文件包含攻击

11、文件上传攻击

12、敏感信息泄露

13、XML实体注入

14、XPATH注入

15、LDAP注入

16、其他

 

从这个列表看,显然Web防火墙和送体验金的网站库防火墙所承载的目标区别比较大,SQL注入攻击攻只是两种不同防火墙的为数不多的交叉点。 

 

送体验金的网站库防火墙是SQL注入防御的终极解决方案

送体验金的网站库防火墙和Web防火墙部署位置的不同,决定了两种不同产品对于SQL注入攻击的防御策略和效果会大不相同。

 

部署位置:Web防火墙作用在浏览器和应用程序之间,送体验金的网站库防火墙作用在应用送体验金的官网器和送体验金的网站库送体验金的官网器之间。

 

作用协议:Web防火墙作用在Http协议上,送体验金的网站库防火墙一般作用在送体验金的网站库协议上,比如Oracle SQL*Net,MSSQL TDS等。

 

Web防火墙作用在浏览器和应用程序之间,使他只能够看得见用户提交的相关信息,而用户提交信息往往只是送体验金的网站库SQL语句的一个碎片,缺乏对于送体验金的网站库SQL的全局认知,更加不用说SQL语句的上下文关系了。Web防火墙只能做一些基于常规异常特征以及出现过的特征进行识别和过滤,使Web防火墙的SQL注入攻击防御效果依赖于攻击者的水平和创意,只要攻击者具有一定的创意,Web防火墙很难防御SQL注入攻击。

 

送体验金的网站库防火墙作用在应用送体验金的官网器和送体验金的网站库送体验金的官网器之间,看到的是经过了复杂的业务逻辑处理之后最后生成的完整SQL语句,也就是说是攻击者的最终表现形态,已经撕去了大量的伪装。由于看到的是缺乏变化的最终形态,使送体验金的网站库防火墙可以比较Web防火墙采用更加积极的防御策略,比如守白知黑策略进行异常SQL行为检测,100%防御SQL注入攻击。即使简单采用和Web防火墙类似的黑名单策略,由于看到的信息使完整的最终信息,使其防御难度比较Web防火墙大幅度下降,防御效果自然会更好。

 

更多的访问通道

通过http送体验金的官网应用访问送体验金的网站库只是送体验金的网站库访问中的一种通道和业务,还有大量的业务访问和http无关,这些http无关的业务自然就无法部署web防火墙,只能依赖于送体验金的网站库防火墙来完成。

 

 

总结

1、送体验金的网站库防火墙主要用来防御外部入侵风险,需要和内部送彩金的手机娱乐平台管控适当分开。

 

2、送体验金的网站库防火墙主要聚焦点是通过修复应用程序业务逻辑漏洞和缺陷来降低或者消除送体验金的网站(库)送彩金的手机娱乐平台风险。SQL注入攻击是其核心防御风险,而送体验金的网站库漏洞攻击检测和防御则并不是必须的。

 

3、由于SQL注入攻击和送体验金的网站库漏洞攻击的伴生性,送体验金的网站库防火墙往往具备送体验金的网站库漏洞检测和防御功能。

 

4、Web防火墙不能替代送体验金的网站库防火墙,Web防火墙是SQL注入攻击的第一道防线,送体验金的网站库防火墙则是SQL注入攻击的终极解决方案。 

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读

送体验金的官网