WAF产品化 2011-1-13
目标:稳定的版本 和 标准的手册
1.硬件差异问题,争取了OEM提供硬件样机。
2.OEM功能本来在我们手里,为了更好产品化,配合移交工作。
3.我们做好 产品生产实施,技术支持,问题反馈等工作。
4.软件部门需要我们做的,我们全力配合。
5.软件部门,把稳定性和技术文档做好。
6.产品不稳定技术支持压力很大。
7.软件部门可以向我们提需求,比如:OEM的硬件设备等。
当前急迫的问题;
没有OEM版本,较多明显的bug,关键性手册比较旧
1.使用手册
2.技术白皮书
3.产品技术指标
4.测试方案
5.产品讲解ppt(客户交流)
6.产品培训ppt(功能培训)
客户刚提出的新需求:
技术白皮书,没有体现出技术含量,给用户产生不了明确的影响。
刚才和技术人员交流WAF的产品化:
研发提出,现在php部分没人做,
导致界面更新进度缓慢,并且主要都是界面这块的问题。
以后多进行交流,及时了解出现的问题和相关情况,做好产品化工作。
WAF功能优化 2011-01-24
1. 阻断 客户访问 某些敏感页面。(URL阻断功能,可配置)
1)可以收集一些针对某一页面的漏洞,比如典型的FCKeditor上传漏洞的URL:fckeditor/editor/filemanager/browser/default/browser.html
2)管理员登陆的地址,阻止任意客户端访问。
3)阻断一个也没应该可以在WEB攻击防护力阻断,但独立出来比较好,一是多个功能,二是更容易理解和管理。
4)对违反URL访问规则的地址进行记录,为事后攻击判定,提供依据。
2. 阻止Google爬虫。
1)因为许多漏洞的攻击都是以Google为跳板的。
2)需要Google排名的话,那就让Google只能爬到首页,其他页面不能爬。(这个看看能否实现)
3. 阻断 使用扫描工具爬网站目录。
1)使用扫描工具爬网站目录,明显是有恶意的。
4. 服务器HTTP错误代码拦截,比如:404 500 等错误返回。
1)许多WEB黑客工具,是根据HTTP的返回状态,判定是否有漏洞的。
2)我们的策略,200正常时,正常返回,500内部错误时,我们进行拦截,同时返回我们的内容和200正常响应。
5. 能够阻断我们目前已知的所有黑客工具的扫描。
1)啊D注入工具,穿山甲,明小子,JBroFuzz,WVS,Appscan,X-scan。
2)对上述工具的扫描规则进行研究与分类,加强攻击识别能力。
3)例如:明小子检查Sql漏洞的方式就是,and 1=1 返回200正常 and 1=2 返回500内部错误,就认为 and 后的语句被执行,即存在漏洞。
上面这几条,在漏洞真正出现时,并不一定能进行绝对防护,就像杀毒软件一样,但能使网站进入一个较安全的环境,也是最基础的防护。
做到以上几条防护后,网站的运行环境如下(安全方面):
1)客户端不能随意访问管理员登陆地址,进行注入或暴力破解。
2)对一些存在问题或漏洞的页面,不能及时修改源码的情况下,进行URL阻止访问。
3)阻断Google爬虫,使黑客不能通过Google轻易搜索到网站的相关页面。
4)扫描网站目录,可以获取很丰富的入侵前的有价值信息,阻断后,大量有价值的信息被隐藏。
5)HTTP错误代码拦截,WEB在debug打开的情况下,会显示很详细的报错信息,对入侵也非常有用。
6)使通用的黑客工具(上面提到的)在WAF面前无语。
WAF产品技术支持培训过程 2011-03-19
文档讲解:
- 讲解《WAF产品简介PPT》
- 讲解《WAF培训文档PPT》
漏洞扫描软件使用:
- WVS
- AppScan
- X-scan
- 选用一款软件,扫描某一网站,并生成报表
SQL注入原理:
- Select * from admin;
- Select * from news where id=1;
- Select * from news where id = 1 and 1=1;
- Select * from news where id = 1 and 1=2;
- Select * from news where id = 1 and exists(select * from admin);
安全实例:
- 注入实例
- 啊D注入工具使用
- Google语法使用
产品使用:
- 搭建网站环境(App-Serv安装,Serv-U安装,上传网站,管理网站)
- 部署WAF设备
- 使用扫描工具或者手动对已经被保护的站点进行攻击
- 查看WAF产品的防护情况
测试报告:
- 根据用户环境与需求,基于测试方案模板,制定测试项目
- 测试项目确定后,制作测试文档
- 根据测试文档,对相关功能逐一进行测试
- 最后将测试结果整理后,提交给用户
扫描工具报告:
- 开启网站防护功能,使用Appscan对网站进行扫描测试,生成报告。
- 关闭网站防护功能,使用Appscan对网站进行扫描测试,生成报告。
- 防护前后生成的对比报告,提交用户,并建议用户对报告中的弱点或漏洞进行修复。
WAF产品单项深入学习:
- 多种WEB攻击的执行和日志
- 多种DOS攻击的执行和日志
- WVS,Appcasn 出报告(防护前后)
- 全部功能测试与使用
- 亲自拿下一个后台
- 亲自拿下一个WebShell
- 远程OR上面技术支持
- FAQ
- 需求反馈&Bug反馈