在这个计算机网络飞速发展的网络时代里,新兴的网络威胁正在不断「侵蚀」着的应用程序和核心数据的安全,各种繁杂的防护手段也随之接踵而来.众所周知,Gartner 是全球最具权威的 IT 研究与顾问咨询公司,WAF 和 RASP 就是在不同时期被 Gartner 分析师所推崇的两种防护技术. 一.什么是 WAF? WAF,即Web Application Firewall,Web 应用防火墙属于边界防火墙的一种.它通常设在 Web 应用程序的入口,拦截并分析所有用户请求,如果其中存在与某种攻击模式相匹…

Web 应用防火墙(WAF)已经成为常见 Web 应用普遍采用的安全防护工具,即便如此,WAF 提供的保护方案仍旧存在诸多不足,笔者认为称 WAF 为好的安全监控工具更为恰当.幸运的是,应用安全保护技术也在快速发展,运行时应用程序自我保护系统(简称 RASP)之概念,一经 Gartner 提出,立即受到热烈追捧.业界普遍认为 RASP 会成为新一代应用漏洞的「超级克星」. WAF: 对应用安全防护已力不从心 Web 应用安全防火墙(WAF)部署在 Web 应用程序前线,可以实时扫描和过滤 Web…

Gartner 2018 年WAF魔力象限报告:云WAF持续增长,Bot管理与API安全拥有未来 来源 https://www.freebuf.com/articles/paper/184903.html AngelaY  2018-09-19  *AngelaY 编译整理,转载请注明来自 FreeBuf.COM 8 月 29 日,Gartner 发布 2018 年度 Web 应用防火墙(WAF)魔力象限,这是 Gartner 自 2014 年之后连续第五年发布此类报告.报告中照例描述了全球 W…

什么是WAF和RASP? WAF全称是Web application firewall,即 Web 应用防火墙.RASP 全称是 Runtime Application Self-protect,即应用运行时自我保护系统.两款产品都是针对 Web 应用的攻击进行防护的. 作为用户,如何安装使用 WAF 和 RASP? WAF 的使用 WAF 相当于一个网络设备,需要部署到网络环境中.它有三种部署模式,分别是串联(透明)部署.旁路部署.反向代理部署. 三种部署方式都有各自的优缺点,串联部署比较简单…

近十年来,WAF 已经逐渐发展成熟,被软件行业接受并成为无数企业保护应用的不二选择.很多大型企业甚至相继亲自设计或通过并购涉足其中,在这个硕大的市场里逐鹿竞争,同时也推动了应用层防火墙的技术演进. 与传统防火墙工作在传输层或网络层不同,WAF 工作在应用层,基于对 Web 应用业务和逻辑的理解,WAF 对各类请求进行内容检测和验证,可以做到实时阻断非法的请求,从而对各类网站应用进行有效保护. 然而道高一尺,魔高一丈.现代黑客的技术水平也在日新月异,零日攻击早已不是新鲜事,WAF 做为把守应用安全…

从架构.资源.协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF防御能力. 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分.还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全.在我看来,WAF的绕过技术的研究将不断驱动防御水平提高. 以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面.绕过WAF规则,更像是正面对抗,属于下策.一直关注规则层面的绕过,…

亚洲唯一:瀚思科技入选 Gartner SIEM 领域 Peer Insights     网络安全技术与产业,正在由传统的合规驱动,走向合规与需求双轮驱动.关注用户需求.倾听用户声音,根据实际情况打造优质的安全产品和服务,是任何一家优秀网络安全提供商的立命之本. ——安全牛主编李少鹏 近日,瀚思科技(HanSight)以客户综合评价 4.9 分的高分(Market Rating,满分 5 分)入选 GartnerSIEM 领域的 PeerInsights“Voice of the Custom…

序 2019年2月18日,加入妈妈网,至今已经有四个月的时间,上周进到一个网关项目组,这个项目的主要目的是基于openResty+Naxsi实现WAF,相关技术初定涉及到openResty.Lua.Naxsi.ELK.Redis.php.Nginx.MySQL.consul.etcd,解决方案类似软WAF的另一种思路:基于Openresty+Naxsi的WAF实现 openResty.Lua.Naxsi.ELK.consul.etcd,这些技术对项目组的成员来说,基本上都是比较陌生的,对我本人来…

Apache Log4j2 远程代码执行漏洞已爆发一周,安全厂商提供各类防御方案和检测工具,甲方团队连夜应急. 影响持续至今,网上流传的各种利用和绕过姿势还在层出不穷,影响面持续扩大.所有安全人都开始反思一个问题:当前的防御是否有效?针对这样的 0day 再次发生,什么是有效的手段? 阿里云安全团队此次参与了诸多客户应急,并从云平台自身防御总结经验,尝试抛出一些观点以供讨论. 首先,我们先来从技术层面分析一下为什么这次 Log4j2 这么难搞. Apache Log4j2 漏洞们的特质 此次 L…

远程Java应用的RASP调试教程 介绍 Java RASP是基于Java Agent技术实现的,而Java Agent代码无法独立启动,必须依赖于一个Java运行时程序才能运行. 如何调试一个Java Agent可以参考之前的一篇推文:如何 debug JRASP Agent代码 在RASP开发的中后期,则需要在真实的Web服务器上测试.通常这些Java应用程序都运行在远端设备上,开发者本地不具备这样的环境.所以我们需要远程调试一个真实的Java应用,来解决bug或者验证RASP的防护效果.下…

前言 任何企业对投资都有回报的要求,回报可能是直接的「利润」,达到短期.长期的目标,或者通过投资减少损失.因此每个项目的决策者在每笔投资前都要衡量 ROI,证明该投资能达到的效果和收益,以便在项目结束时可以考核和衡量项目是否成功. 同时通过 ROI 的分析为下一笔预算请求,提供支持性的证据.不过信息安全投资的 ROI 分析,对每个决策者都是很艰难的事情.因为安全投资对大多数企业来说,并不能带来非常直接的收益和利润. 本文主要目的就是和决策者进行讨论,希望通过一些简单的工具和最佳实践,简化 ROI…

一.说明 1.1 RASP和WAF的区别 WAF,Web Application Firewall,应用防火墙.其原理是拦截原始http数据包,然后使用规则对数据包进行匹配扫描,如果没有规则匹配上那就放行数据包.正如一个门卫,如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行,至于进去的人在里面干什么他就不知道了. RASP,Runtime application self-protection,运行时应用自我保护.Gartner公司2014年新提出的一个概念.其不是拦截数据包而是…

Global DDoS Threat LandscapeQ4 2017 https://www.incapsula.com/ddos-report/ddos-report-q4-2017.html,DDOS攻击的报告. Market Guide for DDoS Mitigation Services 2018年的,from:https://www.gartner.com/doc/3873489/market-guide-ddos-mitigation-services Summary The…

平台: linux 类型: 虚拟机镜像 软件包: basic software devops nsfocus security waf 服务优惠价: 按服务商许可协议 云服务器费用:查看费用 立即部署 产品详情 产品介绍绿盟网站安全防护服务(vWAF),是绿盟科技针对公有云场景,以虚拟化设备形态为核心的安全服务,全面防护企业客户部署在公有云上的Web业务.核心防护引擎.智能检测引擎.自学习引擎.智能补丁,多种防护,全面对抗OWASP Top10威胁.按需购买,方便扩容~2016年WAF产品大中华…

如标题所示,第x次实战获取webshell的经历是非常美好且需要记录的(毕竟开始写博客了嘛).这能够证明这一路来的学习没有白费,也应用上了该用的知识. 首先怎么说呢,某天去补天看了看漏洞,发现有一个网站被上交了sql注入,但只是中危的,在我的映像里面,sql注入按理说怎么都是高危的风险吧? 难道是被防火墙拦截无法获取信息,所以写成了中危吗?出于好奇,所以我就去搜了一下那个网站,然后就开始寻找,刚浏览一下就发现了sql注入,当然还是 常规操作,正常流程就能发现了,我看也没有waf,那我就直接上sq…

近日,Gartner发布亚太区2018年度Web应用防火墙(简称“WAF”)魔力象限报告,阿里云WAF凭借成熟的产品能力和完善的服务体系成功入围,且是唯一一家进入该魔力象限的云WAF提供商. 报告指出,“从长期来看,Gartner预计云WAF将获得更大的发展势头,因为亚太地区越来越多的企业看到了云WAF服务自动弹性扩容以及快速与其他Web应用防护服务集成的能力优势.” 目前,阿里云WAF服务节点在亚太地区已覆盖6个地域,10个数据中心节点,更支持与DDoS防护.AntiBot爬虫风险管理方案和C…

2019年,艺赛旗和Gartner建立了咨询合作,并在企业发展策略中汲取了Gartner的部分建议.今年Gartner在全球召开了多场IT Symposium,并在Symposium发布2020的相关预测.近期,艺赛旗参加了亚太地区澳大利亚黄金海岸的Gartner IT Symposium/ Xpo 2019,在会中我们新获悉了Gartner 关于2020年前后的市场预测,在这些预测中,我们对RPA产品和市场又有了新的想法. Gartner IT Symposium/Xpo 2019 一.202…

近期,在全球权威咨询机构Gartner发布的2019 Web应用防火墙魔力象限中,阿里云Web应用防火墙成功入围,是亚太地区唯一一家进入该魔力象限的厂商! Web应用防火墙,简称WAF.在保护Web应用程序的安全性上面已有多年的发展历史.近年来,随着云服务的普及.大数据计算能力的发展,云WAF因具有易部署.易操作.功能更丰富等优势受到了越来越多的企业认可.Gartner 在报告中也指出,相较于传统的WAF设备而言,更多的企业开始考虑使用云WAF来做安全防护. 阿里云WAF是一款基于云原生安全能力…

从Gartner与IDC三大行业报告,看国产RPA的市场规模与未来发展 Gartner与IDC的三份报告,描绘出中国RPA的市场规模与未来宏图 文/王吉伟 近期的国产RPA,可谓捷报频频.三个重量级行业报告,给予中国RPA厂商足量的曝光. 先是在7月21日,Gartner发布年度重磅报告<2021年中国ICT技术成熟度曲线>报告,其中的RPA技术板块,国产RPA有5家被推荐,来也科技更是在RPA.NLT两项技术领域入选. 然后在7月22日,IDC发布了<IDC MarketScape:中…

从WAF攻防角度重看sql注入 攻防都是在对抗中逐步提升的,所以如果想攻,且攻得明白,就必须对防有深刻的了解 sql注入的大体流程 Fuzz测试找到注入点 对注入点进行过滤检测,及WAF绕过 构建payload,对数据库进行脱裤,甚至getshell sql注入流程分析 sql注入,最初没有防护的时候,就只要能成功拼接sql语句,就可以进行sql注入 先对注入点进行判断,是字符型还是整型. 对于整型一般是直接拼接sql,而对于字符型的一般是先要闭合掉单引号,或者双引号,还有一种存在利用逻辑漏洞闭…

作者:      我是小三 博客:      http://www.cnblogs.com/2014asm/ 由于时间和水平有限,本文会存在诸多不足,希望得到您的及时反馈与指正,多谢! 0x00:web安全防御技术介绍 1.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析.架构设计.系统设计.功能设计.编码实现.测试评估.上线部署.业务运营等关键步骤,其中功能设计.编码测试.发布部署.系统运营这几个环节中都会存在安全风险,但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品.…

RASP 介绍 Runtime Application Self-protection 运行时应用自我保护 [图源:绿盟科技] 概念 Gartner (著名信息技术研究和分析厂商) 在2014年提出了RASP的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备.RASP 是一种新型应用安全防护技术.这种技术直接将防护引擎嵌入到应用内部,能够感知应用上下文,与应用程序融为一体,实时监测.阻断攻击,使程序自身拥有自保护的能力.并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可. 举个…

应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标. 因为他们知道如果能发现并利用应用程序的漏洞,他们就有超过三分之一的机会成功入侵. 更重要的是,发现应用程序漏洞的可能性也很大. Contrast Security 调查显示, 90%的应用程序在开发和质量保证阶段没有进行漏洞测试,甚至相当一部分应用程序在生产过程中没有受到保护. 由于企业中运行着许多有漏洞的应用程序,安全团队面临的挑战是如何保护这些应用程序免受攻击. 其中一种方法是让应用程序通过实时识别和阻止攻击来保护自己,这就是被称为运行…

初识Rasp--Openrasp代码分析 @author:Drag0nf1y 本文首发于奇安信安全社区,现转载到个人博客. 原文链接: https://forum.butian.net/share/1959 什么是RASP? Rasp的概念 ​ RASP(Runtime application self-protection)的概念,最早由Gartner在2014年提出,即"运行时自我保护",指对应用程序的保护不应该单纯依赖于外部的系统,而应该使程序自身带有自我保护的能力.RASP在实…

什么产品可以定义为 RASP? RASP 英文为 Runtime application self-protection,它是一种新型应用安全保护技术,它将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击. 这意味着,RASP 运行在程序执行期间,使程序能够自我监控和识别有害的输入和行为. 其实,RASP 不同于传统的安全技术仅在网络周边或者终端设备上进行保护,…

近日,在国际权威分析机构Frost & Sullivan发布的<2017年亚太区Web应用防火墙市场报告>中,阿里云以市场占有率45.8%的绝对优势连续两年领跑大中华区云WAF市场,不仅如此,在Gartner发布的亚太区2018年度Web应用防火墙魔力象限报告中,阿里云Web应用防火墙(简称“WAF”)成功入围,且是国内唯一一家进入该魔力象限的云WAF提供商.阿里云WAF缘何接连获得国际权威机构和市场的认可? 一.基于云原生能力诞生的WAF更具优势 Gartner 在2017年WAF魔…

前言 之前介绍了一些前后端结合的中间人攻击方案.由于 Web 程序的特殊性,前端脚本的参与能大幅弥补后端的不足,从而达到传统难以实现的效果. 攻防本为一体,既然能用于攻击,类似的思路同样也可用于防御.如果将前端技术结合到传统的 WAF 中,又能有如何的改进? 假人的威胁 简单易用,是 Web 服务最大的优势.然而,这也是个致命的弱点. 这种格式简单.标准一致的特征,使得攻击者能利用现有的安全工具,进行大规模.通用化的探测和入侵.甚至无需了解其中的原理. 试想一下,如果某个网站使用私有的二进制协议…

知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向.之前对WAF并不太了解,因此趁此机会科普一下并查阅了一些绕过WAF的方法.网上关于绕过WAF有诸多文章,但是观察之后会发现大体上绕过WAF的方法就那八.九种,…

业务安全通用解决方案——WAF数据风控 作者:南浔@阿里云安全 “你们安全不要阻碍业务发展”.“这个安全策略降低用户体验,影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨.但安全从业者加入公司的初衷绝对不是“阻碍业务发展”,那么安全解决方案能否成为“业务促进者”,而非“业务阻碍者”呢?答案是肯定. 安全和业务接耦,对客户透明的安全产品,如防火墙.IDS.WAF等就很少遭受到类似的吐槽. 但回归到互联网业务安全场景,现在业务安全防控常见场景往往如下: 场景一: 安全:“登陆流量报警了,有人…

PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文.也希望整理的内容能给甲方工作者或则白帽子带来一些收获. 0x00 概述 随着网络安全越来越受到重视,发展越来越快.随之也出现了越来越多的安全防护的软件.例如有: 1.云waf:[阿里云盾,百度云加速,360网站卫士,加速乐等] 2.传统安全厂商的硬件waf以及一直存在的ips,ids设备:[绿盟,启明,深信服,安恒等] 3.主机防护软件如安全狗,云锁: 4.软waf…