最近对于这两种方法的争论挺多的。
实际上,在我思想中,企业搞web安全,这是两个主攻方向了。(PCI标准也这么要求)
我习惯上把WAF归纳为过滤层,就是在应用的架构中有这么一个 filter-tier, 他起的作用是过滤和净化危险输入。在架构中的位置可以是多样化的:单独的硬件、apache mod、应用里面捕获输入;
WAF如果开启阻断功能的话,就可以起到虚拟补丁的功能。在这个意义上来说,可以减小程序员的工作量。
Web Application Firewall又名WEB应用安全防火墙,简称WAF,07年底08年开始Web应用防火墙日趋流行,过去这些工具被很少数的大型项目垄断,但是,随着大量的低成本产品的面市以及可供选择的开源试用产品的出现,它们最终能被大多数人所使用。在这篇文章中,先向大家介绍Web应用防火墙能干什么,然后快速的概览一下Web应用防火墙最有用的一些特征。通过这篇文章的阅读,大家能清楚地了解web应用防火墙这个主题,掌握相关知识。
近期发现adobe.com,internet.com,nike.com,等等着名站点都分分遭受到攻击,但攻击者所使用的技术并不是以往所使用的入侵 WEB服务器,更改主页的惯用手法,攻击者使用的是一种域名劫持攻击技术,攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。
wasc-wafec-v1.0_web应用防火墙评估标准
之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文,并整理成excel方式在公司内部发了下,一直没有公开发出,一来是觉得翻译的还不够好,二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准,并公布了出来,就直接转载过来,下面为转载内容。
感谢Friddy的投递。
1.漏洞介绍
在XHTML 1.0标准下,使用特殊构造的CSS样式,在Internet Explorer 7.0 打开特定的网页后,Internet Explorer 7.0将发生内存崩溃,EIP指针将访问0×70613e5b附近的内存区域。如果将0×70613e5b附近覆盖特殊的机器码,就可以执行任意命令。
在应用安全网关产品的投标中,往往可以看到UTM,上网行为管理,防病毒网关,Web安全网关这几类的产品。一个企业的公开招标,可以看到有至少10家不同类型的厂商参与投标。用户会产生很大的困惑,究竟什么样的产品才是最符合需求呢?在下面的内容里,将从网络安全的发展角度、用户的需求偏重点、功能、性能等几个方面做具体的探讨。
下面,将从网络安全的发展角度分析这几种网关产品的由来以及发展趋势。
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
以下是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的2008年上半年我国国内网站被黑被篡改的统计图,在1月-7月内仅发现的被篡改的网站就多达41,000多个,平均每天就有近200个网站被篡改,这真是一个惊人的数字。
此前我一直表示,2009年安全大黑马非Web应用防火墙莫数。事实上,进入五月份以来,很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。对此记者专门走访了众多厂商,结果看到的是井喷的订单与密集的出差行程,这无不凸显出眼下Web应用防火墙市场的炙热。
3月18日黑客大赛如火如荼的开始之后,网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。
到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击?到底准备了那些猛料?
By:superhei
警惕Third Party Content攻击
“对于web应用程序,很多程序为了实现一些功能比如程序升级/提醒,还有广告什么的都直接在程序里使用了Third Party Content,那么当官方等站被黑时,基本使用你程序的用户都被xx了,这个以后也有可能和crsf一样成为一种vul呢?”
社工的威力和魅力不可想象,如果RP好的话.后果将不堪设想.
程序固然稳定,人性脆弱不堪.如果一天你发现有个人在试图了解你的信息.
那么你要注意以下几点:
以下一切建立在与自己不是很熟悉的人的交流上(第一点除外)
1、首先记住这句话:永远不要承认自己是个黑客或者说自己是个高手,因为这个称号是要付出代价的。
2、接到陌生电话后,一定要问清楚对方有什么事情,然后再告诉他(她)当前你目前所在的地理位置。
3、永远不要试图通过手机短信或者常用的QQ来解决某个问题,对方很有可能居心不良,手机号码地址查询以及QQ的IP地址查询我们并不陌生。
English