多模匹配技术:
基于签名规则集的引擎,规则数量的多少在一定程度上决定了检测能力。
而多模匹配技术是确保规则增加时,检测时间不跟随性地线性增加的关键技术。
实现多模匹配技术的主要思路就是通过构建自动机的方式,实现给定长度为n的内容,
和模式集合P{p1,p2,...pm},在O(n)的时间复杂度内,完成匹配。
双引擎技术:
传统的防护规则基本都是基于正则表达式,面对各种类型的Web攻击检测,
正则引擎目前仍具有通用的方案优势。
1.基于正则的规则可以覆盖主流OWASP风险。无需关注攻击场景和语言环境。
2.针对紧急漏洞爆发,可快速提供虚拟补丁
为解决正则引擎在某些场景下的不足(SQL、XSS攻击等),
将检测数据更细粒度地解析为主要思路的语义分析引擎,可与正则引擎互相补充现更精准的检测。
针对SQL注入、XSS等场景的检测,更精准,误报更低。
编码还原:
根据对现网流量的统计,约百分之四十的Web流量都经过了各种类型的编码。
黑客也经常利用编码来绕过安全防护。因此,编码还原能力在一定程度上影响Web应用防火墙的攻防能力。
参考自动机的思想,Web应用防火墙实现了7类常见编码格式的还原处理。
包括url_escape,hex,unicode,xml encode,html encode,C OCT,base64等。
支持多重编码还原和混合编码还原。在绕过对抗上具有更强的攻防能力。
热更新:
租户的策略、规则变更时不影响业务是Web应用防火墙的重要能力。
Web应用防火墙利用共享内存机制实现的热更新,
可以在不影响当前请求的情况下,快速更新租户策略和规则。
CC攻击:
Http和Https flood攻击,利用代理(肉鸡)发起超高并发的Http(s)访问。
注入攻击:
是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。可以利用这种攻击方法来非法获取数据或者网络资源。当用户进入一个有命令注入漏洞的网页时,浏览器会通译那个代码,而这样就可能会导致恶意命令掌控该用户的电脑和他们的网络。
SQL注入攻击
攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
跨网站脚本攻击(Cross Site Scripting,XSS)
攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。
跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。它与XSS的攻击方法不同,XSS利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
服务端请求伪造(Server-Side Request Forgery,SSRF)
SSRF攻击指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。