WAF产品记录

WAF产品化 2011-1-13

目标：稳定的版本 和 标准的手册

 

1.硬件差异问题，争取了OEM提供硬件样机。

2.OEM功能本来在我们手里，为了更好产品化，配合移交工作。

3.我们做好 产品生产实施，技术支持，问题反馈等工作。

4.软件部门需要我们做的，我们全力配合。

5.软件部门，把稳定性和技术文档做好。

6.产品不稳定技术支持压力很大。

7.软件部门可以向我们提需求，比如：OEM的硬件设备等。

 

当前急迫的问题；

 

没有OEM版本,较多明显的bug,关键性手册比较旧

1.使用手册

2.技术白皮书

3.产品技术指标

4.测试方案

5.产品讲解ppt（客户交流）

6.产品培训ppt（功能培训）

 

客户刚提出的新需求：

 

技术白皮书，没有体现出技术含量，给用户产生不了明确的影响。

刚才和技术人员交流WAF的产品化:

研发提出，现在php部分没人做，

导致界面更新进度缓慢，并且主要都是界面这块的问题。

以后多进行交流，及时了解出现的问题和相关情况，做好产品化工作。

WAF功能优化 2011-01-24

1. 阻断 客户访问 某些敏感页面。（URL阻断功能，可配置）

 

1）可以收集一些针对某一页面的漏洞，比如典型的FCKeditor上传漏洞的URL：fckeditor/editor/filemanager/browser/default/browser.html

 

2）管理员登陆的地址，阻止任意客户端访问。

 

3）阻断一个也没应该可以在WEB攻击防护力阻断，但独立出来比较好，一是多个功能，二是更容易理解和管理。

 

4）对违反URL访问规则的地址进行记录，为事后攻击判定，提供依据。

 

2. 阻止Google爬虫。

 

1）因为许多漏洞的攻击都是以Google为跳板的。

 

2）需要Google排名的话，那就让Google只能爬到首页，其他页面不能爬。（这个看看能否实现）

 

3. 阻断 使用扫描工具爬网站目录。

 

1）使用扫描工具爬网站目录，明显是有恶意的。

 

4. 服务器HTTP错误代码拦截，比如：404 500 等错误返回。

 

1）许多WEB黑客工具，是根据HTTP的返回状态，判定是否有漏洞的。

 

2）我们的策略，200正常时，正常返回，500内部错误时，我们进行拦截，同时返回我们的内容和200正常响应。

 

5. 能够阻断我们目前已知的所有黑客工具的扫描。

 

1）啊D注入工具，穿山甲，明小子，JBroFuzz，WVS，Appscan，X-scan。

 

2）对上述工具的扫描规则进行研究与分类，加强攻击识别能力。

 

3）例如：明小子检查Sql漏洞的方式就是，and 1=1 返回200正常 and 1=2 返回500内部错误，就认为 and 后的语句被执行，即存在漏洞。

 

上面这几条，在漏洞真正出现时，并不一定能进行绝对防护，就像杀毒软件一样，但能使网站进入一个较安全的环境，也是最基础的防护。

 

做到以上几条防护后，网站的运行环境如下（安全方面）：

 

1）客户端不能随意访问管理员登陆地址，进行注入或暴力破解。

 

2）对一些存在问题或漏洞的页面，不能及时修改源码的情况下，进行URL阻止访问。

 

3）阻断Google爬虫，使黑客不能通过Google轻易搜索到网站的相关页面。

 

4）扫描网站目录，可以获取很丰富的入侵前的有价值信息，阻断后，大量有价值的信息被隐藏。

 

5）HTTP错误代码拦截，WEB在debug打开的情况下，会显示很详细的报错信息，对入侵也非常有用。

 

6）使通用的黑客工具（上面提到的）在WAF面前无语。

WAF产品技术支持培训过程 2011-03-19

文档讲解：

1. 讲解《WAF产品简介PPT》
2. 讲解《WAF培训文档PPT》

漏洞扫描软件使用：

1. WVS
2. AppScan
3. X-scan
4. 选用一款软件，扫描某一网站，并生成报表

SQL注入原理：

1. Select * from admin;
2. Select * from news where id=1;
3. Select * from news where id = 1 and 1=1;
4. Select * from news where id = 1 and 1=2;
5. Select * from news where id = 1 and exists(select * from admin);

安全实例：

1. 注入实例
2. 啊D注入工具使用
3. Google语法使用

产品使用：

1. 搭建网站环境（App-Serv安装，Serv-U安装，上传网站，管理网站）
2. 部署WAF设备
3. 使用扫描工具或者手动对已经被保护的站点进行攻击
4. 查看WAF产品的防护情况

测试报告：

1. 根据用户环境与需求，基于测试方案模板，制定测试项目
2. 测试项目确定后，制作测试文档
3. 根据测试文档，对相关功能逐一进行测试
4. 最后将测试结果整理后，提交给用户

扫描工具报告：

1. 开启网站防护功能，使用Appscan对网站进行扫描测试，生成报告。
2. 关闭网站防护功能，使用Appscan对网站进行扫描测试，生成报告。
3. 防护前后生成的对比报告，提交用户，并建议用户对报告中的弱点或漏洞进行修复。

WAF产品单项深入学习：

1. 多种WEB攻击的执行和日志
2. 多种DOS攻击的执行和日志
3. WVS，Appcasn 出报告（防护前后）
4. 全部功能测试与使用
5. 亲自拿下一个后台
6. 亲自拿下一个WebShell
7. 远程OR上面技术支持
8. FAQ
9. 需求反馈&Bug反馈