WAF可防御的主要攻击类型
核心能力与定位 WAF(Web应用防火墙)工作在OSI第七层(应用层),通过解析与策略校验HTTP/HTTPS流量,识别并阻断针对Web应用的恶意行为。它与传统网络层防火墙互补,重点覆盖OWASP Top 10等常见风险,支持反向代理/透明/旁路镜像等部署,并可对WebSocket、SSE及非标准端口的Web业务进行防护。
主要防护清单
| 攻击/风险类别 | 典型特征与示例 | WAF常见防护动作 |
|---|---|---|
| Web注入类 | SQL注入、命令/代码注入、LDAP/XPath/XML/JSON注入 | 语义分析+正则双引擎检测,参数化/归一化后匹配,阻断恶意载荷 |
| 跨站脚本(XSS) | 反射型/存储型/ DOM型脚本注入 | 对请求参数与响应内容检测并过滤危险脚本与编码变形 |
| 跨站请求伪造(CSRF) | 伪造合法请求执行越权操作 | 结合规则/令牌校验与行为分析识别异常跨站请求 |
| 文件上传与Webshell | 通过上传接口植入Webshell、恶意脚本 | 文件类型/内容校验、上传路径限制、Webshell特征检测与阻断 |
| 目录遍历与敏感文件访问 | 访问**…/**、敏感配置文件(如.bash_history) | 路径规范化与黑名单匹配,拦截越权访问 |
| 协议合规与异常检测 | 非标准方法、畸形请求头、异常编码 | HTTP/HTTPS协议校验、Header全字段检测、自动解码识别变形攻击 |
| 暴力破解与撞库 | 短时间内大量登录失败、凭证填充 | 登录失败计数与阈值惩罚、IP/账号/会话封禁、验证码/人机校验 |
| CC攻击与HTTP Flood | 高频访问特定URL、会话耗尽 | IP/Cookie/Referer维度频率限制、人机识别、精准速率控制 |
| 爬虫与扫描器 | 恶意爬虫抓取、漏洞扫描行为 | 反爬虫规则、人机识别、威胁情报匹配、黑白名单控制 |
| 网页篡改与暗链 | 静态页面被篡改、植入暗链链接 | 网页防篡改、响应内容校验、恶意指纹识别与告警/阻断 |
| 数据泄露与信息暴露 | 响应中泄露身份证号/手机号/邮箱等 | 敏感信息过滤、响应码拦截、错误页统一与信息最小化 |
| 盗链与资源滥用 | 外站盗用图片/附件链接 | Referer校验、资源访问策略、黑白名单控制 |
| 0day漏洞应急 | 新漏洞公开但补丁未就绪 | 虚拟补丁快速上线,规则/语义引擎临时阻断利用链 |
| API安全 | 滥用接口、越权访问、Bot滥用 | API调用频率与参数校验、Bot管理、访问控制策略 |
| TLS/合规 | 弱加密套件、协议版本过旧 | TLS版本与套件控制,支持PCI DSS/PCI 3DS合规能力 |
| 上述能力在现代WAF中较为常见,具体以产品型号与版本为准。 |
边界与注意事项
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
