目标:稳定的版本 和 标准的手册
1.硬件差异问题,争取了OEM提供硬件样机。
2.OEM功能本来在我们手里,为了更好产品化,配合移交工作。
3.我们做好 产品生产实施,技术支持,问题反馈等工作。
4.软件部门需要我们做的,我们全力配合。
5.软件部门,把稳定性和技术文档做好。
6.产品不稳定技术支持压力很大。
7.软件部门可以向我们提需求,比如:OEM的硬件设备等。
当前急迫的问题;
没有OEM版本,较多明显的bug,关键性手册比较旧
1.使用手册
2.技术白皮书
3.产品技术指标
4.测试方案
5.产品讲解ppt(客户交流)
6.产品培训ppt(功能培训)
客户刚提出的新需求:
技术白皮书,没有体现出技术含量,给用户产生不了明确的影响。
刚才和技术人员交流WAF的产品化:
研发提出,现在php部分没人做,
导致界面更新进度缓慢,并且主要都是界面这块的问题。
以后多进行交流,及时了解出现的问题和相关情况,做好产品化工作。
1. 阻断 客户访问 某些敏感页面。(URL阻断功能,可配置)
1)可以收集一些针对某一页面的漏洞,比如典型的FCKeditor上传漏洞的URL:fckeditor/editor/filemanager/browser/default/browser.html
2)管理员登陆的地址,阻止任意客户端访问。
3)阻断一个也没应该可以在WEB攻击防护力阻断,但独立出来比较好,一是多个功能,二是更容易理解和管理。
4)对违反URL访问规则的地址进行记录,为事后攻击判定,提供依据。
2. 阻止Google爬虫。
1)因为许多漏洞的攻击都是以Google为跳板的。
2)需要Google排名的话,那就让Google只能爬到首页,其他页面不能爬。(这个看看能否实现)
3. 阻断 使用扫描工具爬网站目录。
1)使用扫描工具爬网站目录,明显是有恶意的。
4. 服务器HTTP错误代码拦截,比如:404 500 等错误返回。
1)许多WEB黑客工具,是根据HTTP的返回状态,判定是否有漏洞的。
2)我们的策略,200正常时,正常返回,500内部错误时,我们进行拦截,同时返回我们的内容和200正常响应。
5. 能够阻断我们目前已知的所有黑客工具的扫描。
1)啊D注入工具,穿山甲,明小子,JBroFuzz,WVS,Appscan,X-scan。
2)对上述工具的扫描规则进行研究与分类,加强攻击识别能力。
3)例如:明小子检查Sql漏洞的方式就是,and 1=1 返回200正常 and 1=2 返回500内部错误,就认为 and 后的语句被执行,即存在漏洞。
上面这几条,在漏洞真正出现时,并不一定能进行绝对防护,就像杀毒软件一样,但能使网站进入一个较安全的环境,也是最基础的防护。
做到以上几条防护后,网站的运行环境如下(安全方面):
1)客户端不能随意访问管理员登陆地址,进行注入或暴力破解。
2)对一些存在问题或漏洞的页面,不能及时修改源码的情况下,进行URL阻止访问。
3)阻断Google爬虫,使黑客不能通过Google轻易搜索到网站的相关页面。
4)扫描网站目录,可以获取很丰富的入侵前的有价值信息,阻断后,大量有价值的信息被隐藏。
5)HTTP错误代码拦截,WEB在debug打开的情况下,会显示很详细的报错信息,对入侵也非常有用。
6)使通用的黑客工具(上面提到的)在WAF面前无语。
手机扫一扫
移动阅读更方便
你可能感兴趣的文章