安全焦点：从黑客常用攻击手段看WEB应用防护

目前Web技术在客户端和服务器端的大量使用，导致黑客攻击Web应用城市的攻击手段多种多样，即绕过防火墙等常规保护手段，攻击手段更加简单多样，让人防不胜防。
黑客一般使用Web进行攻击的原因有:
1。服务器漏洞
Internet Information Server(IIS)和Apache网络服务器经常被黑客利用，原因是服务器管理存在漏洞和配置错误。
2。Web服务器虚拟主机
同时托管几个甚至上千个网站的服务器也是恶意攻击的目标。
3。显式/开放式代理
黑客控制的计算机可以设置为代理服务器，以逃避URL过滤对通信的控制，匿名上网或充当非法网站数据流的中间人。
4。HTML可以在网页中嵌入来自完全不同服务器的对象
用户可以从特定网站请求浏览网页，并且只自动下载对象、广告服务器、恶意软件下载网站或从合法网站如Google Analytics server被重定向到恶意软件网站。
5。普通客户可能是黑客的试金石。
Internet Explorer、Firefox等浏览区和Windows操作系统都包含了许多可以被黑客利用的漏洞，尤其是当用户经常不能及时安装补丁时。黑客会利用这些漏洞，在未经用户同意的情况下自动下载恶意软件代码——也称为隐藏下载。所以他们往往可能成为黑客控制的傀儡，在访问你的网站的同时给你的Web应用带来风险。
6。网站上广泛使用各种移动代码和跨站脚本
禁用JavaScript、Java小程序、。NET应用程序，浏览器中的Flash或ActiveX，因为它们都会在你的电脑上自动执行脚本或代码。大测提示:但如果禁用这些功能，很多网站可能无法浏览。这为接受用户输入和使用Cookies的糟糕编码的Web应用程序打开了大门，就像在跨站点脚本中一样(XSS)。在这种情况下，一些需要从其他打开的页面访问cookie)web的Web应用程序将会被混淆。任何接受用户输入的Web应用程序(博客、维基、评论区)都可能无意中接受恶意代码，除非用户的输入被检查并确认为恶意代码，否则这些恶意代码可能会返回给其他用户。
7。通用访问HTTP和HTTPS
必须使用Web访问互联网，所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假设所有计算机都可以访问外部网络。很多程序都是通过HTTP访问互联网的，比如IM、P2P软件。此外，这些被劫持的软件打开了发送僵尸网络命令的通道。
8。使用电子邮件中嵌入的HTML
作为SMTP电子邮件网关会在一定程度上限制可用电子邮件的发送，黑客不会经常在电子邮件中发送恶意代码。相反，电子邮件中的HTML用于从Web获取恶意软件代码，用户可能不知道他们向网站发送了请求。【/br/】从以上黑客常见的攻击方向可以看出，为了避免让我们成为以上黑客关注的对象，我们需要一种专门为全面保护Web应用而设计的设备，部署一个立体的保护层，让它能够自动智能地甄别和保护黑客的这些攻击。而不是使用一个或多个仅具有固定策略或固定攻击特征库的传统被动保护网关。
Web应用防火墙的出现就是为了专门解决这个问题。应用防火墙通过执行应用会话中的请求来处理应用层，它专门保护web应用通信流和所有相关的应用资源免受利用Web协议或应用的漏洞发起的攻击。应用程序防火墙可以防止出于恶意目的使用应用程序行为的浏览器和HTTP攻击。一些功能强大的应用防火墙甚至可以模拟一个代理作为网站服务器接受应用交付，相当于给原有网站加了一个安全的绝缘外壳。
让我们来看一个Barracuda-NC应用防火墙，它现在在业界相当普遍。可以有效防护以下一般方法无法检测到的Web应用层攻击:
恶意脚本
Cookie/会话中毒
表单/隐藏域修改
缓存溢出
参数篡改
跨站脚本攻击
强制浏览。目录检测
Sql注入/命令注入
数据窃取/身份窃取
已知漏洞攻击/零日漏洞攻击
应用Dos
工作时，Barracuda-NC应用防火墙具有基于应用层检测的双重特性和基于状态的网络防火墙的优点。
？全面检查应用数据录入，重写HTTP头，强制遵守HTTP协议，杜绝各类利用协议漏洞的攻击和权限；
？完全了解期望值系统，以防止各种形式的SQL/命令注入和跨站点脚本攻击；
？实时策略生成和执行，根据你的应用定义相应的保护策略，而不是同一个厂商预定义的防攻击策略，无缝集成你的应用，不会造成任何应用失真。
而且，他可以让你的Web应用完全隐形，因为就算黑客再神奇，也无法攻击隐形的东西。