WAF产品记录
阅读原文时间:2023年07月09日阅读:2

目标:稳定的版本 和 标准的手册

1.硬件差异问题,争取了OEM提供硬件样机。

2.OEM功能本来在我们手里,为了更好产品化,配合移交工作。

3.我们做好 产品生产实施,技术支持,问题反馈等工作。

4.软件部门需要我们做的,我们全力配合。

5.软件部门,把稳定性和技术文档做好。

6.产品不稳定技术支持压力很大。

7.软件部门可以向我们提需求,比如:OEM的硬件设备等。

当前急迫的问题;

没有OEM版本,较多明显的bug,关键性手册比较旧

1.使用手册

2.技术白皮书

3.产品技术指标

4.测试方案

5.产品讲解ppt(客户交流)

6.产品培训ppt(功能培训)

客户刚提出的新需求:

技术白皮书,没有体现出技术含量,给用户产生不了明确的影响。

刚才和技术人员交流WAF的产品化:

研发提出,现在php部分没人做,

导致界面更新进度缓慢,并且主要都是界面这块的问题。

以后多进行交流,及时了解出现的问题和相关情况,做好产品化工作。

1. 阻断 客户访问 某些敏感页面。(URL阻断功能,可配置)

1)可以收集一些针对某一页面的漏洞,比如典型的FCKeditor上传漏洞的URL:fckeditor/editor/filemanager/browser/default/browser.html

2)管理员登陆的地址,阻止任意客户端访问。

3)阻断一个也没应该可以在WEB攻击防护力阻断,但独立出来比较好,一是多个功能,二是更容易理解和管理。

4)对违反URL访问规则的地址进行记录,为事后攻击判定,提供依据。

2. 阻止Google爬虫。

1)因为许多漏洞的攻击都是以Google为跳板的。

2)需要Google排名的话,那就让Google只能爬到首页,其他页面不能爬。(这个看看能否实现)

3. 阻断 使用扫描工具爬网站目录。

1)使用扫描工具爬网站目录,明显是有恶意的。

4. 服务器HTTP错误代码拦截,比如:404 500 等错误返回。

1)许多WEB黑客工具,是根据HTTP的返回状态,判定是否有漏洞的。

2)我们的策略,200正常时,正常返回,500内部错误时,我们进行拦截,同时返回我们的内容和200正常响应。

5. 能够阻断我们目前已知的所有黑客工具的扫描。

1)啊D注入工具,穿山甲,明小子,JBroFuzz,WVS,Appscan,X-scan。

2)对上述工具的扫描规则进行研究与分类,加强攻击识别能力。

3)例如:明小子检查Sql漏洞的方式就是,and 1=1 返回200正常 and 1=2 返回500内部错误,就认为 and 后的语句被执行,即存在漏洞。

上面这几条,在漏洞真正出现时,并不一定能进行绝对防护,就像杀毒软件一样,但能使网站进入一个较安全的环境,也是最基础的防护。

做到以上几条防护后,网站的运行环境如下(安全方面):

1)客户端不能随意访问管理员登陆地址,进行注入或暴力破解。

2)对一些存在问题或漏洞的页面,不能及时修改源码的情况下,进行URL阻止访问。

3)阻断Google爬虫,使黑客不能通过Google轻易搜索到网站的相关页面。

4)扫描网站目录,可以获取很丰富的入侵前的有价值信息,阻断后,大量有价值的信息被隐藏。

5)HTTP错误代码拦截,WEB在debug打开的情况下,会显示很详细的报错信息,对入侵也非常有用。

6)使通用的黑客工具(上面提到的)在WAF面前无语。

文档讲解:

  1. 讲解《WAF产品简介PPT》
  2. 讲解《WAF培训文档PPT》

漏洞扫描软件使用:

  1. WVS
  2. AppScan
  3. X-scan
  4. 选用一款软件,扫描某一网站,并生成报表

SQL注入原理:

  1. Select * from admin;
  2. Select * from news where id=1;
  3. Select * from news where id = 1 and 1=1;
  4. Select * from news where id = 1 and 1=2;
  5. Select * from news where id = 1 and exists(select * from admin);

安全实例:

  1. 注入实例
  2. 啊D注入工具使用
  3. Google语法使用

产品使用:

  1. 搭建网站环境(App-Serv安装,Serv-U安装,上传网站,管理网站)
  2. 部署WAF设备
  3. 使用扫描工具或者手动对已经被保护的站点进行攻击
  4. 查看WAF产品的防护情况

测试报告:

  1. 根据用户环境与需求,基于测试方案模板,制定测试项目
  2. 测试项目确定后,制作测试文档
  3. 根据测试文档,对相关功能逐一进行测试
  4. 最后将测试结果整理后,提交给用户

扫描工具报告:

  1. 开启网站防护功能,使用Appscan对网站进行扫描测试,生成报告。
  2. 关闭网站防护功能,使用Appscan对网站进行扫描测试,生成报告。
  3. 防护前后生成的对比报告,提交用户,并建议用户对报告中的弱点或漏洞进行修复。

WAF产品单项深入学习:

  1. 多种WEB攻击的执行和日志
  2. 多种DOS攻击的执行和日志
  3. WVS,Appcasn 出报告(防护前后)
  4. 全部功能测试与使用
  5. 亲自拿下一个后台
  6. 亲自拿下一个WebShell
  7. 远程OR上面技术支持
  8. FAQ
  9. 需求反馈&Bug反馈