本文共 1042 字，大约阅读时间需要 3 分钟。

一、    Web防护

1.1   网络层防护

1）DDOS攻击

2）Syn Flood

3）Ack Flood

4）Http/HttpS Flood（CC攻击）

5）慢速攻击

1.2   应用层防护和功能

1）URL黑白名单

2）HTTP协议规范（包括特殊字符过滤、请求方式、内容传输方式，例如：multipart/form-data，text/xml，application/x-www-form-urlencoded）

3）注入攻击（form和URL参数，post和get）

l  SQL注入防御

l  LDAP注入防御

l  命令注入防护（OS命令，webshell等）

l  XPath注入

l  Xml/Json注入

4）XSS攻击（form和URL参数，post和get，现阶段分为三类攻击：存储式(危害大，也是一种流行方式)，反射式、基于Dom的XSS）

5）目录遍历（Path Traversal）

6） form表单数据验证和表单篡改和注入（表单验证银行卡、数据、日期等）

7）认证管理和会话劫持（cookie加密：防护会话劫持，包括cookie超时）。

8）内容过滤（这儿强调上传内容过滤post form和get 参数，主要应用论坛）

9）Web服务器漏洞探测（apache版本等隐藏，站点隐藏）

10）爬虫防护（基于SRC IP，周期判断访问数，爬虫白名单除外）

11）CSRF（Cross-site request forgery）（WAF采用token方式处理能够解决）

12）篡改（包括盗链）（WAF周期爬服务器网页，进行对比验证，如果篡改发现篡改，Client访问WAF网页）

13）Web服务器漏洞扫描（模拟攻击，判断缺陷，自动配置对应规则）

14）cache加速（静态页面优化，PDF，图片等，需要周期映像）

16）错误码过滤（探测服务，及其目录结构）

17）站点转换（URL rewrite）

18）发现攻击锁定（发现攻击，锁定用户）

19）查杀毒

20）加密传输（http -> https转化，即client-waf之间通过https，waf与server之间http）。

21）URL ACL（URL匹配一些规则）。

二、    防止Web信息泄露

1）         银行卡（信用卡、借记卡）、社保卡、驾照等，采用覆盖和隐藏两种方式。

2）         敏感词过滤、Web中关键词（政治敏感词、技术关键词等）

3）         防止文件泄露（word、pdf等扩展文件及其关键词），Web服务器上的文件。

转载地址：http://ojfob.baihongyu.com/