IPS web應(yīng)用防火墻如何防止cookie欺騙
IPS web應(yīng)用防火墻作用很大,那么它是怎么樣防止cookie欺騙的呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的IPS web應(yīng)用防火墻防止cookie欺騙介紹!希望對(duì)你有幫助!
IPS web應(yīng)用防火墻防止cookie欺騙介紹一:
Web應(yīng)用安全問(wèn)題本質(zhì)上源于軟件質(zhì)量問(wèn)題。但Web應(yīng)用相較傳統(tǒng)的軟件,具有其獨(dú)特性。Web應(yīng)用往往是某個(gè)機(jī)構(gòu)所獨(dú)有的應(yīng)用,對(duì)其存在的漏洞,已知的通用漏洞簽名缺乏有效性;
需要頻繁地變更以滿足業(yè)務(wù)目標(biāo),從而使得很難維持有序的開(kāi)發(fā)周期;需要全面考慮客戶端與服務(wù)端的復(fù)雜交互場(chǎng)景,而往往很多開(kāi)發(fā)者沒(méi)有很好地理解業(yè)務(wù)流程;人們通常認(rèn)為Web開(kāi)發(fā)比較簡(jiǎn)單,缺乏經(jīng)驗(yàn)的開(kāi)發(fā)者也可以勝任。
針對(duì)Web應(yīng)用安全,理想情況下應(yīng)該在軟件開(kāi)發(fā)生命周期遵循安全編碼原則,并在各階段采取相應(yīng)的安全措施。然而,多數(shù)網(wǎng)站的實(shí)際情況是:大量早期開(kāi)發(fā)的Web應(yīng)用,由于歷史原因,都存在不同程度的安全問(wèn)題。
對(duì)于這些已上線、正提供生產(chǎn)的Web應(yīng)用,由于其定制化特點(diǎn)決定了沒(méi)有通用補(bǔ)丁可用,而整改代碼因代價(jià)過(guò)大變得較難施行或者需要較長(zhǎng)的整改周期。
針對(duì)這種現(xiàn)狀,專業(yè)的Web安全防護(hù)工具是一種合理的選擇。Web應(yīng)用防火墻(以下簡(jiǎn)稱WAF)正是這類專業(yè)工具,提供了一種安全運(yùn)維控制手段:基于對(duì)HTTP/HTTPS流量的雙向分析,為Web應(yīng)用提供實(shí)時(shí)的防護(hù)。與傳統(tǒng)防火墻/IPS設(shè)備相比較,WAF最顯著的技術(shù)差異性體現(xiàn)在:
對(duì)HTTP有本質(zhì)的理解:能完整地解析HTTP,包括報(bào)文頭部、參數(shù)及載荷。支持各種HTTP 編碼(如chunked encoding、request/response壓縮);提供嚴(yán)格的HTTP協(xié)議驗(yàn)證;提供HTML限制;支持各類字符集編碼;具備response過(guò)濾能力。
提供應(yīng)用層規(guī)則:Web應(yīng)用通常是定制化的,傳統(tǒng)的針對(duì)已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層規(guī)則,且具備檢測(cè)變形攻擊的能力,如檢測(cè)SSL加密流量中混雜的攻擊。
提供正向安全模型(白名單):僅允許已知有效的輸入通過(guò),為Web應(yīng)用提供了一個(gè)外部的輸入驗(yàn)證機(jī)制,安全性更為可靠。
提供會(huì)話防護(hù)機(jī)制:HTTP協(xié)議最大的弊端在于缺乏一個(gè)可靠的會(huì)話管理機(jī)制。WAF為此進(jìn)行有效補(bǔ)充,防護(hù)基于會(huì)話的攻擊類型,如cookie篡改及會(huì)話劫持攻擊。
如何正確選擇WAF
并非對(duì)Web服務(wù)器提供保護(hù)的“盒子”都是WAF。事實(shí)上,一個(gè)真正滿足需求的WAF應(yīng)該具有二維的防護(hù)體系:
縱向提供縱深防御:通過(guò)建立協(xié)議層次、信息流向等縱向結(jié)構(gòu)層次,構(gòu)筑多種有效防御措施阻止攻擊并發(fā)出告警。
橫向:滿足合規(guī)要求;緩解各類安全威脅(包括網(wǎng)絡(luò)層面、Web基礎(chǔ)架構(gòu)及Web應(yīng)用層面);降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn),優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性。
在選擇WAF產(chǎn)品時(shí),建議參考以下步驟:
結(jié)合業(yè)務(wù)需求明確安全策略目標(biāo),從而定義清楚WAF產(chǎn)品必須具備的控制能力
評(píng)估每一家廠商WAF產(chǎn)品可以覆蓋的風(fēng)險(xiǎn)類型
測(cè)試產(chǎn)品功能、性能及可伸縮性
評(píng)估廠商的技術(shù)支持能力
評(píng)估內(nèi)部維護(hù)團(tuán)隊(duì)是否具備維護(hù)、管理WAF產(chǎn)品的必需技能
權(quán)衡安全、產(chǎn)出以及總成本。“成本”不僅僅意味著購(gòu)買安全產(chǎn)品/服務(wù)產(chǎn)生的直接支出,還需要考慮是否影響組織的正常業(yè)務(wù)、是否給維護(hù)人員帶來(lái)較大的管理開(kāi)銷
IPS web應(yīng)用防火墻防止cookie欺騙介紹二:
要進(jìn)行Cookies欺騙,其實(shí)很簡(jiǎn)單。比如在Win9X下的安裝目錄下,有一名為hosts.sam的文件,以文本方式打開(kāi)后會(huì)看到這樣的格式:
127.0.0.1localhost
經(jīng)過(guò)設(shè)置,便可以實(shí)現(xiàn)域名解析的本地化,只需將IP和域名依上面的格式添加到文件中并另存為hosts即可。hosts文件實(shí)際上可以看成一個(gè)本機(jī)的DNS系統(tǒng),它可以負(fù)責(zé)把域名解釋成IP地址,它的優(yōu)先權(quán)比DNS服務(wù)器要高,它的具體實(shí)現(xiàn)是TCP/IP協(xié)議中的一部分。
總之,在某種程度上雖然可以實(shí)現(xiàn)Cookies的欺騙,給網(wǎng)絡(luò)應(yīng)用帶來(lái)不安全的因素,但Cookies文件本身并不會(huì)造成用戶隱私的泄露,也不會(huì)給黑客提供木馬程序的載體,只要合理使用,它們會(huì)給網(wǎng)站管理員進(jìn)行網(wǎng)站的維護(hù)和管理以及廣大用戶的使用都帶來(lái)便利。
看了“ IPS web應(yīng)用防火墻如何防止cookie欺騙”文章的還看了:
2.關(guān)于防火墻的安全應(yīng)用以及主要功能
4.防火墻如何分類