zoukankan      html  css  js  c++  java

  • WAF产品记录

    WAF产品化 2011-1-13

    目标:稳定的版本 和 标准的手册
     
    1.硬件差异问题,争取了OEM提供硬件样机。
    2.OEM功能本来在我们手里,为了更好产品化,配合移交工作。
    3.我们做好 产品生产实施,技术支持,问题反馈等工作。
    4.软件部门需要我们做的,我们全力配合。
    5.软件部门,把稳定性和技术文档做好。
    6.产品不稳定技术支持压力很大。
    7.软件部门可以向我们提需求,比如:OEM的硬件设备等。
     
    当前急迫的问题;
     
    没有OEM版本,较多明显的bug,关键性手册比较旧
    1.使用手册
    2.技术白皮书
    3.产品技术指标
    4.测试方案
    5.产品讲解ppt(客户交流)
    6.产品培训ppt(功能培训)
     
    客户刚提出的新需求:
     
    技术白皮书,没有体现出技术含量,给用户产生不了明确的影响。
    刚才和技术人员交流WAF的产品化:
    研发提出,现在php部分没人做,
    导致界面更新进度缓慢,并且主要都是界面这块的问题。
    以后多进行交流,及时了解出现的问题和相关情况,做好产品化工作。

    WAF功能优化 2011-01-24

    1. 阻断 客户访问 某些敏感页面。(URL阻断功能,可配置)
     
    1)可以收集一些针对某一页面的漏洞,比如典型的FCKeditor上传漏洞的URL:fckeditor/editor/filemanager/browser/default/browser.html
     
    2)管理员登陆的地址,阻止任意客户端访问。
     
    3)阻断一个也没应该可以在WEB攻击防护力阻断,但独立出来比较好,一是多个功能,二是更容易理解和管理。
     
    4)对违反URL访问规则的地址进行记录,为事后攻击判定,提供依据。
     
    2. 阻止Google爬虫。
     
    1)因为许多漏洞的攻击都是以Google为跳板的。
     
    2)需要Google排名的话,那就让Google只能爬到首页,其他页面不能爬。(这个看看能否实现)
     
    3. 阻断 使用扫描工具爬网站目录。
     
    1)使用扫描工具爬网站目录,明显是有恶意的。
     
    4. 服务器HTTP错误代码拦截,比如:404 500 等错误返回。
     
    1)许多WEB黑客工具,是根据HTTP的返回状态,判定是否有漏洞的。
     
    2)我们的策略,200正常时,正常返回,500内部错误时,我们进行拦截,同时返回我们的内容和200正常响应。
     
    5. 能够阻断我们目前已知的所有黑客工具的扫描。
     
    1)啊D注入工具,穿山甲,明小子,JBroFuzz,WVS,Appscan,X-scan。
     
    2)对上述工具的扫描规则进行研究与分类,加强攻击识别能力。
     
    3)例如:明小子检查Sql漏洞的方式就是,and 1=1 返回200正常 and 1=2 返回500内部错误,就认为 and 后的语句被执行,即存在漏洞。
     
    上面这几条,在漏洞真正出现时,并不一定能进行绝对防护,就像杀毒软件一样,但能使网站进入一个较安全的环境,也是最基础的防护。
     
    做到以上几条防护后,网站的运行环境如下(安全方面):
     
    1)客户端不能随意访问管理员登陆地址,进行注入或暴力破解。
     
    2)对一些存在问题或漏洞的页面,不能及时修改源码的情况下,进行URL阻止访问。
     
    3)阻断Google爬虫,使黑客不能通过Google轻易搜索到网站的相关页面。
     
    4)扫描网站目录,可以获取很丰富的入侵前的有价值信息,阻断后,大量有价值的信息被隐藏。
     
    5)HTTP错误代码拦截,WEB在debug打开的情况下,会显示很详细的报错信息,对入侵也非常有用。
     
    6)使通用的黑客工具(上面提到的)在WAF面前无语。

    WAF产品技术支持培训过程 2011-03-19

    文档讲解:

    1. 讲解《WAF产品简介PPT》
    2. 讲解《WAF培训文档PPT》

    漏洞扫描软件使用:

    1. WVS
    2. AppScan
    3. X-scan
    4. 选用一款软件,扫描某一网站,并生成报表

    SQL注入原理:

    1. Select * from admin;
    2. Select * from news where id=1;
    3. Select * from news where id = 1 and 1=1;
    4. Select * from news where id = 1 and 1=2;
    5. Select * from news where id = 1 and exists(select * from admin);

    安全实例:

    1. 注入实例
    2. 啊D注入工具使用
    3. Google语法使用

    产品使用:

    1. 搭建网站环境(App-Serv安装,Serv-U安装,上传网站,管理网站)
    2. 部署WAF设备
    3. 使用扫描工具或者手动对已经被保护的站点进行攻击
    4. 查看WAF产品的防护情况

    测试报告:

    1. 根据用户环境与需求,基于测试方案模板,制定测试项目
    2. 测试项目确定后,制作测试文档
    3. 根据测试文档,对相关功能逐一进行测试
    4. 最后将测试结果整理后,提交给用户

    扫描工具报告:

    1. 开启网站防护功能,使用Appscan对网站进行扫描测试,生成报告。
    2. 关闭网站防护功能,使用Appscan对网站进行扫描测试,生成报告。
    3. 防护前后生成的对比报告,提交用户,并建议用户对报告中的弱点或漏洞进行修复。

    WAF产品单项深入学习:

    1. 多种WEB攻击的执行和日志
    2. 多种DOS攻击的执行和日志
    3. WVS,Appcasn 出报告(防护前后)
    4. 全部功能测试与使用
    5. 亲自拿下一个后台
    6. 亲自拿下一个WebShell
    7. 远程OR上面技术支持
    8. FAQ
    9. 需求反馈&Bug反馈
  • 相关阅读:
    System.arraycopy()的用法?
    Java当中“+=”和“=+”的区别
    jsp FN 标签库的使用方法
    手作编辑画面处理
    mpfu 位编辑处理?
    5/14 自动跟新 位数编集 百分号添加 手作部品。
    jsp 4-14 知识总结
    jstl split 分割字符串?
    aws vpc 知识总结(助理级)
    典型的软件自动化测试框架
  • 原文地址:https://www.cnblogs.com/mlsec/p/8589042.html
Copyright © 2011-2022 走看看