长亭百川云 - 文章详情

攻鉴产品之旅(六):Web应用安全的防护秘宝

步履不停的

81

2024-07-26

近年来,随着网络的普及和Web应用的快速增长,Web应用安全问题变得愈加严峻。在各类监测机构的统计中,从Web层面所导致的威胁能覆盖到大大小小的绝大多数厂商,影响的用户数量从几万到上千万不等。

同时,网络安全状况的不稳定也会对Web应用系统造成威胁,如DDoS攻击、终端感染恶意软件、黑客跳板等内部网络问题。因而,重视Web应用安全问题,尽可能减少Web层面所导致的威胁是每个厂商都务必要重视的问题。

Web应用攻击能造成多大损失?

以史为鉴,从已发生过的Web应用攻击事件中能看到重视Web应用安全问题的必要性,如作为美国三大消费者信用报告公司之一的Equifax 曾遭受到的一次严重的数据泄露事件。

事件中,攻击者成功利用了一个Web应用漏洞,获取了超过1亿人的敏感信息,包括社会安全号码、信用卡信息和个人身份信息。

这次事件导致了Equifax的巨大的声誉损失和法律诉讼,在支付了近7亿美元的赔偿和罚款外还有更多难以估量的损失。

无独有偶,Marriott国际酒店数据泄露、Capital One银行云服务器漏洞、SolarWinds供应链攻击等事件,桩桩件件,每个案例都凸显了Web应用安全的重要性。

Web应用防护如何确保有效?

众所周知,WAF(Web应用防火墙)在防御常见Web攻击中发挥着关键作用,因而在进行安全规划时,企业需要确保其WAF系统足够有效,能够抵御新兴威胁,以及修补漏洞时能够提供及时的保护。

而关键的问题在于,WAF的有效性取决于其策略、规则和对新威胁的适应能力。但这些能力往往是不清晰/不确定的。

简而言之,到底是盾够坚固还是矛够锋利,这些疑惑往往会成为未知数,最终在某一次安全事件的爆发中得到验证,当然,大额的损失也随之而来。

对于此类问题,矢安科技攻鉴(AS BAS)突破与攻击模拟系统中的Web安全场景可以帮助企业评估其WAF的有效性,确保其足够强大,且能够防御新兴威胁,而不仅仅是已知的攻击方式。

攻鉴Web场景介绍

矢安科技攻鉴Web安全有效性验证场景,通过外部方式持续向目标站点投递Web相关的攻击向量,以测试WAF设备的策略有效性。

通过任务配置,该场景能够在重大漏洞发布时验证企业已采购WAF厂商的补丁是否生效,也可在重大活动前检查WAF的有效性。

攻鉴的Web安全场景通过外部方式(无需安装和部署客户端)不断向目标站点投递Web攻击向量,以评估WAF设备的策略有效性。它支持以下关键方面:

验证补丁有效性

在重大漏洞发布后,攻鉴WAF场景可用于验证WAF厂商的补丁是否能有效抵御新威胁。

实时和定期检测

通过模拟各种攻击,它可以实时/定期检测WAF的性能,并确保它能够在面对未知攻击时保护Web应用。

绕过技术评估

Web安全场景支持对多种WAF绕过方式的有效性评估,包括攻击编码绕过、协议解析问题绕过、参数污染等等。这有助于组织更好地了解WAF的限制。

此外,攻击模拟场景支持多种WAF绕过方式的测试,包括但不限于:

  **●IP封锁绕过:**攻击者尝试绕过WAF的IP封锁策略。

  **●HTTP Smuggling:**攻击者利用HTTP传输漏洞绕过WAF。
  **●分块传输:**测试分块传输攻击是否能绕过WAF。

  **●参数污染:**攻击者试图通过参数污染攻击规避WAF。

  **●HTTP参数溢出绕过:**测试攻击参数溢出绕过WAF。

  **●畸形包:**检查WAF对畸形包的处理情况。

  **●利用pipline绕过:**攻击者尝试通过利用协议解析问题绕过WAF。

此外,Web安全攻击模拟场景具有丰富的Web攻击向量库,用户可自定义攻击向量和创建各类攻击向量模板,能帮助企业更好地评估其WAF设备的韧性。

攻鉴运行流程

为了降低企业使用成本,提升安全运营效率,攻鉴能以SAAS形式完成运营闭环,运营流程设置高效便捷:

开箱即用

组织只需要订阅BAS系统,并确保与其网络环境通畅。

任务配置

在BAS运行之前,明确目标,选择模拟攻击类型和目标系统,可发放即时任务、定时任务及周期性任务。

运行模拟

BAS开始模拟各种网络攻击,监控网络活动。

监控和报告

BAS提供实时监控和生成详细的网络安全报告,包括攻击模拟结果和漏洞报告,并支持导出下载,以便企业能够查看任务情况。

修复和优化

基于报告的发现和建议,组织可以采取必要的行动来修复漏洞和加强网络安全,以确保Web应用系统的稳定性。

循环运营

网络安全是一个不断发展的领域,因此,组织通常会定期运行BAS,以保持网络安全水平,并适应新兴威胁。

总结

Web应用安全已经成为企业安全战略的重要组成部分。通过使用攻鉴Web安全场景,企业可以不断提高Web应用的安全性,确保其WAF设备足够强大,能够抵御各种已知和未知的攻击方式。

而通过定期的评估和综合评分,企业可以保护其Web应用免受威胁,减少潜在的经济损失和声誉风险。不是等到攻击发生,而是在事前采取措施,把好第一道关卡,提高企业安全建设关键一环的安全性。

攻鉴(AS BAS)突破与攻击模拟系统

矢安科技作为Gartner《2023中国安全技术成熟度曲线》BAS代表厂商,产品攻鉴依托于攻防研究团队多年的实战经验和技战法沉淀,以自动化、无害化的方式持续开展攻击模拟,验证企业安全有效性。产品覆盖完整杀伤链的安全验证场景,包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护、容器安全等。产品形态为SaaS和私有化部署,为用户提供灵活的产品订阅服务,用户可以按需、按服务周期订阅安全场景。攻鉴不引入靶场环境、不直接使用恶意样本进行测试,不会改变执行环境,以高度自动化、高安全性、无害化的方式持续进行攻击模拟和安全验证。

搜索下方链接或点击底部阅读原文可以了解更多呦~

https://www.asants.com/request.html

往期推荐

[

勒索病毒防护|矢安科技勒索病毒防护能力评估解决方案

](https://mp.weixin.qq.com/s?__biz=Mzg2Mjc3NTMxOA==&mid=2247506786&idx=1&sn=38d3f390a8fe2cb14576796e0a52b7a2&chksm=ce002a1bf977a30d5a6a6fc1a8e6a9fb5985e00156fd6124ce8726e8ba52df74afdba06c596d&scene=21#wechat_redirect)

[

](https://mp.weixin.qq.com/s?__biz=Mzg2Mjc3NTMxOA==&mid=2247503576&idx=1&sn=a4a7505f275faf0f03c01ce5d7348996&chksm=ce003fa1f977b6b7076b36b911d45adc94da68fa15ecbc245896184ab9549648966296168c33&scene=21#wechat_redirect)

[

【权威认可】矢安科技入选数世咨询《数字安全能力指南》——持续评估定义安全运营报告

](https://mp.weixin.qq.com/s?__biz=Mzg2Mjc3NTMxOA==&mid=2247503576&idx=1&sn=a4a7505f275faf0f03c01ce5d7348996&chksm=ce003fa1f977b6b7076b36b911d45adc94da68fa15ecbc245896184ab9549648966296168c33&scene=21#wechat_redirect)

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2