如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度。而本文要介绍一本能很好回答这个问题的优秀书籍《web application defender's cookbook》,这 是一本被低估的“干货”书籍,虽然是为ModSecurity量身定制,但里面提到的防御技巧对web安全从业者均有启发,是WAF版的孙子兵法(有趣的是,这本书的每个章节均以孙子兵法作为开篇语)。 这本书提出了使用ModSecurity进行web应用安全防御的100个技巧,每个技巧都用真实的案例来说明,非常容易掌握,下文介绍这100技及个人点评(已经准备好被喷了:)。 第1技 实时分析HTTP请求特征 例如请求方法,参数名,参数个数,参数长度,参数取值类型(数字,字母,email, URL或文件路径) 脑洞:给HTTP请求做白名单,或为了准确度给出现过漏洞的URI做白名单 http请求分析从长远来看,有些基本信息库必须建立,URL库就是其中一个,来跟进每个站点的URL变化(包括首次访问时间,最后访问时间,建站指纹,漏洞列表) e.g. **.**.**/plus/mytag_js.php?aid DeDeCMS系统 DeDeCMS一句话写马漏洞 ****x首次访问 **xx最后访问 ... (p.s. 基本信息库基本很难建立起来,建立了也很难维持更新,原因嘛,都知道的) 第2技 验证hash token预防数据篡改 例如: http://**.**.**/?p=4 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
