日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Web應(yīng)用層防火墻真的像宣傳的那般好用嗎?

幾個(gè)月以前我決定去探查一下Web應(yīng)用層防火墻(WAF)是否真正有用,或者它僅僅是一個(gè)花費(fèi)巨大的披著華麗外衣的廢物,只是使得審計(jì)人員用來逃脫職責(zé)。

當(dāng)然,WAF的賣家總是一成不變的告訴我們他們的產(chǎn)品是如何如何的好,有多少多少的客戶在使用他們的產(chǎn)品,但是,這不是最好的方式來了解真實(shí)的情況。我也在與一些最終用戶的談?wù)撝蝎@知了一些真實(shí)的情況,甚至這種方式也不是一個(gè)發(fā)現(xiàn)安全工具價(jià)值的最好方式。并不是所有的使用者有很好的觀察法和內(nèi)部控制方式去測(cè)試這些工具的效用,而且由于一些政治和技術(shù)方面的原因,很多人并不能夠以最優(yōu)的方式去部署這些工具。

現(xiàn)在,我從用戶那里開始,和我的一些滲透測(cè)試朋友們一起檢測(cè)這些工具。一個(gè)初級(jí)測(cè)試者不可能理解一個(gè)工具的整個(gè)價(jià)值(因?yàn)樗麄儧]有付出高度的注意力在規(guī)則/管理這些問題上),一個(gè)好的測(cè)試者會(huì)深刻的認(rèn)識(shí)到一個(gè)安全工具在他們生命中的重要性。

最后的結(jié)論是,正確的使用才能夠發(fā)揮WAF的價(jià)值,一定程度上能夠在外部提供一個(gè)安全的防護(hù)范圍,但這也不是一勞永逸的方式。也就是相當(dāng)于沙鼠抵御APT攻擊的價(jià)值,下面是一些細(xì)節(jié):

● WAF能夠很好的防護(hù)框架漏洞(例如運(yùn)行未打補(bǔ)丁的wordpress),自動(dòng)化(腳本)攻擊,甚至只是在配置特定應(yīng)用規(guī)則的情況下就實(shí)現(xiàn)了這些功能(盡管幾乎沒有人能夠真正以這種方式部署)。

● WAF對(duì)于常見的XSS/SQL注入的防護(hù)能力一般。研究者們通常發(fā)現(xiàn)對(duì)于常規(guī)攻擊比較困難的情況,只要借助各種有效因素(尤其是基于WAF的app程序),再花費(fèi)一些時(shí)間一般都能成功溢出。借助大量的應(yīng)用知識(shí),越好的配置WAF,攻擊就越困難。同時(shí),研究溢出的時(shí)間增加會(huì)提高攻擊者的成本,這也許會(huì)減低攻擊者花時(shí)間去研究app程序的可能,同時(shí)也就提高防御他們的可能性。可是,如果有人鐵了心的滲透并有淵博的知識(shí),沒有WAF能夠阻止他們。

● 安全產(chǎn)品經(jīng)常提供很多的重要的分析價(jià)值,它們經(jīng)常提供比跟蹤/狀態(tài)數(shù)據(jù)包更好的信息來理解站點(diǎn)上發(fā)生的事情。

● WAF對(duì)邏輯缺陷無能為力(除非你手動(dòng)編碼/配置),更不用說XSS/SQL注入。

● WAF并不像銷售宣傳中說的那樣使用簡(jiǎn)單。哎,這真讓人吃驚。再一次,它就和沙鼠一樣。

從某方面來說,我寫的這些不值一提。這個(gè)承諾有很多價(jià)值的工具被我們誤用了,但是如果使用得當(dāng),它也能夠提供一定的功用。

只是不要讓人們覺得買它就是在浪費(fèi)錢,確定你知道如何更好的使用它來得到你想要得到的。


當(dāng)前標(biāo)題:Web應(yīng)用層防火墻真的像宣傳的那般好用嗎?
網(wǎng)頁地址:http://m.5511xx.com/article/dppocop.html