当前位置:首页 > 黑客技术 > 正文内容

为什么WAF(WebApplicationFirewall)不能保证数据库安全?

访客4年前 (2021-04-15)黑客技术497

 正告:不要以为有了WAF的维护,数据库安全就能够无忧无虑了,数据库依然有很大的露出危险。 
 
 
Web运用程序防火墙(WAF)现在现已成为许多商业Web网站和体系的根本维护措施了,它确实在防备许多针对Web体系的安全进犯有比较好的效果,可是WAF在面临进犯办法多种多样的SQL注入方面仍是显得束手无策。 
 
布景常识:什么是WAF? 
Web运用防火墙(WAF)是一种根底的安全维护模块,首要针对HTTP拜访的Web程序的维护,放在Web运用程序前面,在用户恳求抵达Web服务器前对用户恳求进行扫描和过滤,剖析和校验每个用户恳求的网络包,保证每个用户恳求是有用并安全的,对无效或许有进犯行为的恳求进行阻断或阻隔。 
WAF能够经过界说一些常见的SQL注入的特征码对常见SQL注入供给防护,比方SQL注入代码加入到某些指令或某些输入,这些WAF是没有问题的。可是市面上的联系型数据的品种十分多,虽然有一致的SQL结构化数据查询言语,可是每个数据库的详细完成有十分多的不相同,这些不相同就导致了多种多样的SQL注入进犯办法的发生。因而也就导致了像WAF这样安全维护体系在不理解运用程序的上下文,不熟悉数据库类型,指令,结构的情况下,仅仅靠剖析网络数据包,加上界说一些数据库特别字符黑名单,去防护多种多样的SQL注入进犯是远远不够的。 
笔者十分认可WAF在Web运用安全防护方面能起比较大的效果,能防护许多Web进犯,也十分鼓舞每个企业去运用WAF为Web运用程序供给安全保证,可是千万不要单纯的以为,有了WAF你的数据库就安全了,这种主意十分的危险。 
 
数据库露出的拜访点多种多样 
从WAF的原理来看,WAF并不能完好的维护Web运用程序免受SQL注入进犯,由于它在Web运用程序外部,不了解运用程序的上下文,不知道方针数据库的类型,这就从根本上决议了WAF只能防备最通用的SQL注入办法。即便WAF做的足够好能够防备绝大多数从Web体系进入的SQL注入进犯,也不能说数据库就得到了很好的维护,由于能拜访数据库的源头不仅仅是Web体系,还有许多其他途径能拜访数据库。 
除了Web体系外还有三类首要的数据库拜访途径:

安排内其他运用体系能拜访数据库:比方在电子商务体系里,价格和库存或许会用一些自动化的脚原本守时更新。 一些内部办理程序能够拜访体系,也或许是一些接口,便利雇员增加信息或许发送信息给客户。 还有数据库DBA,IT司理,QA,开发人员等等内部人员经过数据库办理东西能够拜访数据库。

 
WAF只监控经过HTTP办法将来的数据,这些潜在的数据库拜访源头WAF是毫不知情的,但来自内部的进犯更可怕,内部人员十分清楚数据库的结构和内容,方针性也愈加清晰,不是获取经济利益便是获取许多内部信息,形成的损害能够说是毁灭性的,比方前两年发生在银行客户数据库大规模走漏事情就很清楚的证明了这一点。一同现在黑客进犯手法越来越高超,技能现已十分老练,并且在云年代有显着鸿沟的网络拓扑结构越来越少。总归WAF对SQL注入进犯的防护效果越来越小。 
 
多维度数据库维护是彻底之策 
已然数据库的方面途径许多,要想比较好的处理数据走漏的的危险,多维度防护是最佳办法,只要堵住每条或许走漏的进犯才干保证数据库的安全,或许的办法包含但不仅限于:

运转时运用程序自我维护(RASP)。 数据库防火墙。 形式学习进程。 责任别离。 危险为根底的方针。 灵敏信息屏蔽。 定时审计办理和拜访灵敏信息。

 
 
运转时运用程序自我维护(RASP) 
RASP针对运用程序维护,不仅仅是对Web运用测验,它将代码扫描东西的缝隙发现功用和WAF的实时进犯阻拦才能结合起来,将这些防护功用像疫苗相同注入到运用程序中,让运用程序像人体具有疫苗相同对进犯具有免疫才能,他能够找到一切已知缝隙,像一个虚拟的大补丁将一切的已知缝隙修补起来,免于大多数缝隙进犯,一同它和运用程序一同运转是同一个进程,具有运用程序的上下文,了解运用程序的每一个动作,因而他能准确的了解每一个进犯并能够实时对进犯进行防护。比方SQL注入,它在每个数据库的JDBC的statement详细完成里,依据对每个数据的不同,有针对性的将SQL注入

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106009.html

分享给朋友:

“为什么WAF(WebApplicationFirewall)不能保证数据库安全?” 的相关文章

天猫双十一活动什么时候开始华流

以前提到双十一那都是光棍才过的节日,而现在双十一摇身一变成了全民购物狂欢节。在双十一期间以淘宝天猫为主的购物平台都会推出各种优惠活动以及满减折扣,可以算得上是全年最便宜的时候了。那么天猫双十一活动什么时候开始呢?下面就跟百思特小编来详细了解一下2020年天猫双十一开始时间吧!...

今天的汽油单价 - 今日燃油价格最新行情

4点59元调为5点02元,不同批次价格会有差距,经常堵车路况差的情况下,93#汽油7点71元/升、20:29单位:人民币,情况今天零时起。 92号汽油,0 号柴油每升上调0点04元。更别说不同地区了,92号汽油,上调0点37行情元;93号,最高限价,决定从。 92汽油官方价6点柴油价:6点:5点90...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

有机调和水多少钱一吨 「有机调和水制作过程」

如果说一吨女人是水啊,2,而化学肥料就像人吃的维生素,不能光喝水。 摆放至出水,15种神秘辣椒,用油炸成油炸品,好的纯净水想怎么用就怎么用、稳定供水量。白露节令的露、在本生态系统中有光、过高引起的压力传感的反应原水泵恒定系统供水压力,玉米面4两,制作方法是:将小鱼2调和条。 汽提→大豆原油。手板石膏...

安宫牛黄丸现在价格 - 天地和堂安宫牛黄丸多少钱

一丸280元左右.装同仁堂安宫牛黄丸,那个年代的这个玩意,中医说法多少,体外培育牛黄。 两丸,字[2000]201号\制定安宫牛黄丸等药品价格的批复,到正规的同仁堂自己品牌的药店购买,价格不一样,希望懂得.天然牛黄天然麝香。北京同仁堂牛黄解毒丸的市场价格在2005年。 绿色木盒这三种包装的价格一样,...

奶牛多少钱一头2021年奶牛价格,2021年奶牛市场行情

字体:大中小,一般不超过200斤重的奶牛,怀孕母牛价格要稍贵一些,一般小点的,优质纯种荷斯坦奶牛,见效慢,关闭窗口,通常3-8个月小。 月的奶牛奶牛,花色、请问一头一头半成年奶牛多少钱!但我家不像你那个样子.荷斯坦奶牛、年龄大小。 来源、厘米,他的特点是投资巨大,理性回归2005-09-1511:5...

评论列表

余安倾弋
3年前 (2022-07-03)

 正告:不要以为有了WAF的维护,数据库安全就能够无忧无虑了,数据库依然有很大的露出危险。   Web运用程序防火墙(WAF)现在现已成为许多商业Web网站和体系的根本维护措施了,它确实在防备许多针对Web体系的安全进犯有比较好的效

北槐朻安
3年前 (2022-07-03)

数据库特别字符黑名单,去防护多种多样的SQL注入进犯是远远不够的。 笔者十分认可WAF在Web运用安全防护方面能起比较大的效果,能防护许多Web进犯,也十分鼓舞每个企业去运用WAF为Web运用程序供给安全保证,可是千万不要单纯的以为,有了WAF你的数据库就安全了,

鸠骨辙弃
3年前 (2022-07-03)

犯行为的恳求进行阻断或阻隔。 WAF能够经过界说一些常见的SQL注入的特征码对常见SQL注入供给防护,比方SQL注入代码加入到某些指令或某些输入,这些WAF是没有问题的。可是市面上的联系型数据的品种十分多,虽然有一致的SQL结构化数据查询言语,可是每个数据库的详细完成有十分多的不相同,这些

蓝殇尢婠
3年前 (2022-07-03)

用程序外部,不了解运用程序的上下文,不知道方针数据库的类型,这就从根本上决议了WAF只能防备最通用的SQL注入办法。即便WAF做的足够好能够防备绝大多数从Web体系进入的SQL注入进犯,也不能说数据库就得到了很好的维护,由于能拜访数据库的源头不

舔夺秋酿
3年前 (2022-07-03)

描和过滤,剖析和校验每个用户恳求的网络包,保证每个用户恳求是有用并安全的,对无效或许有进犯行为的恳求进行阻断或阻隔。 WAF能够经过界说一些常见的SQL注入的特征码

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。