多模匹配技術:
基於簽名規則集的引擎,規則數量的多少在一定程度上決定了檢測能力。
而多模匹配技術是確保規則增加時,檢測時間不跟隨性地線性增加的關鍵技術。
實現多模匹配技術的主要思路就是通過構建自動機的方式,實現給定長度為n的內容,
和模式集合P{p1,p2,...pm},在O(n)的時間複雜度內,完成匹配。
雙引擎技術:
傳統的防護規則基本都是基於正則表達式,面對各種類型的Web攻擊檢測,
正則引擎目前仍具有通用的方案優勢。
1.基於正則的規則可以覆蓋主流OWASP風險。無需關注攻擊場景和語言環境。
2.針對緊急漏洞爆發,可快速提供虛擬補丁
為解決正則引擎在某些場景下的不足(SQL、XSS攻擊等),
將檢測數據更細粒度地解析為主要思路的語義分析引擎,可與正則引擎互相補充現更精準的檢測。
針對SQL注入、XSS等場景的檢測,更精準,誤報更低。
編碼還原:
根據對現網流量的統計,約百分之四十的Web流量都經過了各種類型的編碼。
黑客也經常利用編碼來繞過安全防護。因此,編碼還原能力在一定程度上影響Web應用防火牆的攻防能力。
參考自動機的思想,Web應用防火牆實現了7類常見編碼格式的還原處理。
包括url_escape,hex,unicode,xml encode,html encode,C OCT,base64等。
支持多重編碼還原和混合編碼還原。在繞過對抗上具有更強的攻防能力。
熱更新:
租戶的策略、規則變更時不影響業務是Web應用防火牆的重要能力。
Web應用防火牆利用共享內存機制實現的熱更新,
可以在不影響當前請求的情況下,快速更新租戶策略和規則。
CC攻擊:
Http和Https flood攻擊,利用代理(肉雞)發起超高並發的Http(s)訪問。
注入攻擊:
是指這樣一種攻擊手段,黑客通過把HTML代碼輸入一個輸入機制(例如缺乏有效驗證限制的表格域)來改變網頁的動態生成的內容。可以利用這種攻擊方法來非法獲取數據或者網絡資源。當用戶進入一個有命令注入漏洞的網頁時,瀏覽器會通譯那個代碼,而這樣就可能會導致惡意命令掌控該用戶的電腦和他們的網絡。
SQL注入攻擊
攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的字符串,欺騙服務器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。
跨網站腳本攻擊(Cross Site Scripting,XSS)
攻擊者將惡意代碼注入到網頁上,其他用戶在加載網頁時就會執行代碼,攻擊者可能得到包括但不限於更高的權限(如執行一些操作)、私密網頁內容、會話和cookie等各種內容。這些惡意代碼通常是JavaScript、HTML以及其他客戶端腳本語言。
跨網站請求偽造攻擊(Cross Site Request Forgeries, CSRF)
攻擊者偽造目標用戶的HTTP請求,然後此請求發送到有CSRF漏洞的網站,網站執行此請求後,引發跨站請求偽造攻擊。攻擊者利用隱蔽的HTTP連接,讓目標用戶在不注意的情況下單擊這個鏈接,由於是用戶自己點擊的,而他又是合法用戶擁有合法權限,所以目標用戶能夠在網站內執行特定的HTTP鏈接,從而達到攻擊者的目的。它與XSS的攻擊方法不同,XSS利用漏洞影響站點內的用戶,攻擊目標是同一站點內的用戶者,而CSRF 通過偽裝成受害用戶發送惡意請求來影響Web系統中受害用戶的利益。
服務端請求偽造(Server-Side Request Forgery,SSRF)
SSRF攻擊指的是攻擊者在未能取得服務器所有權限時,利用服務器漏洞以服務器的身份發送一條構造好的請求給服務器所在內網。 SSRF攻擊通常針對外部網絡無法直接訪問的內部系統。