因為明天小弟我一大早要 concall 本週內容延到明天我 concall 完在發文 我會努力達到當初的承諾的 QQ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1492522203.A.354.html 2017.W16 - WAF (Web Application Firewall) > 你會選擇 注入 還是 被注入 ## 前言 ## 防火牆有三大要素：效能、準確率、價格 但三者永遠只能取其二 如果有又快、有準、又不用錢的防火牆 一定要馬上推薦給大家 ! ## 內容 ## WAF (Web Application Firewall)[0] 是屬於 Level7 防火牆[1]的一種 主要是針對特定應用程式進行監控、分析與過濾封包內容 類比於系統層的防火牆 兩者都有共同的特色： 1. 針對特定的規則進行請求的處理 2. 擴充彈性大 3. 效能與規則的數量、複雜程度成反比 用 ModSecurity[2] 當做例子：這是一款 WAF 的 open source 他目前支援主流的 Web Server (Apache、Nginx、IIS 等) 另外可以匯入公版的規則 (ModSec 提供)、OWASP[3] 所整理的規則或自定義描述規則等 合理的推論 一個擁有足夠多規則的 WAF 就可以阻擋任意惡意的攻擊 但從開發者的角度 過多的規則也會讓誤判的潛在風險變高 因為一個通用的規則 (e.g. 不允許 GET Method 中帶有 path 參數) 讓以後網頁開發人員會因為這些限制而在開發上受到挫折 同樣的 過多的規則也會讓 WAF 處理一個 incoming 的請求花費的時間變高 如果你想到一個規則可以完美的涵蓋所有惡意行為 記得找一個足夠大的空間寫下來[4] [0]: https://en.wikipedia.org/wiki/Web_application_firewall [1]: https://zh.wikipedia.org/wiki/%E6%87%89%E7%94%A8%E5%B1%A4%E9%98%B2%E7%81%AB%E7%89%86 [2]: https://modsecurity.org/ [3]: https://modsecurity.org/crs/ [4]: https://zh.wikipedia.org/wiki/%E8%B4%B9%E9%A9%AC%E5%A4%A7%E5%AE%9A%E7%90%86 ※ 編輯: CMJ0121 (125.227.147.112), 04/19/2017 15:18:38 ※ 編輯: CMJ0121 (123.193.122.171), 04/20/2017 07:05:28 ※ 編輯: CMJ0121 (125.227.147.112), 04/21/2017 09:37:57