Struts2 S2-032讓安全的江湖又掀起了一陣腥風血雨，很多網(wǎng)站紛紛中招，被黑客入侵造成了各種重大損失。從歷史 Struts2 漏洞爆發(fā)數(shù)據(jù)看，此前每次漏洞公布都深度影響到了政府、銀行、證券、保險等行業(yè)，這次也不例外。網(wǎng)站的Web安全一直是一個大眾密切關注的方向，接下來我們聊聊這個話題。

超過半數(shù)的網(wǎng)站W(wǎng)eb應用數(shù)據(jù)遭受泄露、造成重大財務損失；

企業(yè)網(wǎng)站安全事件頻發(fā)、遭黑客勒索與競爭對手惡意攻擊；

越來越多的網(wǎng)站開始將業(yè)務接入到云計算服務中、充分利用云的計算優(yōu)勢和便利；

網(wǎng)站的管理者都開始關注網(wǎng)站安全，會使用安全產(chǎn)品進行防護。

企業(yè)面臨的挑戰(zhàn)

每天曝光的Web漏洞、危害性大、影響面廣，如何保持實時的更新？

不斷的收到大量的安全告警日志、但不知如何下手？

被第三方漏洞平臺曝光網(wǎng)站安全隱患，防不勝防？

海量肉雞攻擊下網(wǎng)站的頁面顯示很慢甚至無法打開、無能為力？

攻擊從傳統(tǒng)Web攻擊跨越到業(yè)務場景、如撞庫、抓取數(shù)據(jù)、短信接口濫用等，束手無策？

解決方案

WAF(Web應用防火墻)作為一款成熟的網(wǎng)站防護產(chǎn)品、已成為企業(yè)為Web應用提供安全防護的必備利器。它能夠抵御定向的Web技術攻擊、部分業(yè)務邏輯攻擊以及海量肉雞的惡意訪問。通過對Web應用的深入解析和檢測， 能夠阻攔SQL注入、跨站腳本攻擊，阻止惡意掃描等常見Web攻擊并提供修補漏洞的能力。

云安全下的新特性

WAF作為一款傳統(tǒng)的安全防護產(chǎn)品，已經(jīng)發(fā)展多年。但近年來，隨著云計算市場的火熱，WAF有了一種新的接入方式：云部署。通過簡單的DNS記錄變更，將流量引入到云端防護集群，經(jīng)過安全防護檢測后，將安全流量回源到服務器。相比于傳統(tǒng)的防護手段，它有如下特點：

產(chǎn)品+數(shù)據(jù)+運營，三位一體綜合、實現(xiàn)最佳防護效果。傳統(tǒng)的安全防護模式僅是提供形形色色的產(chǎn)品。但絕不僅僅是買了個安全產(chǎn)品就搞定了一切。安全是需要不斷的大數(shù)據(jù)分析模型、自適應的調(diào)整防護策略應對不斷變化的安全趨勢；需要不斷的對產(chǎn)品進行精細化的運營。阿里云在數(shù)據(jù)和運營上有著先天的巨大優(yōu)勢，客戶要做的，就是關于自身業(yè)務，安全交給我們。

零部署、零安裝、五分鐘接入、快速穩(wěn)定。僅需簡單的變更、無需繁瑣的機房布線、機器上架等操作、即可快速享受安全防護。同時多集群部署保障業(yè)務穩(wěn)定不受影響。

實時防護0day漏洞。云上安全專家實時監(jiān)控、針對漏洞的防護規(guī)則云端瞬時下發(fā)、無需傳統(tǒng)模式下的復雜升級流程。

防護能力自動擴展、與云上網(wǎng)站共享。云上用戶包括淘寶、支付寶等生成的防護規(guī)則，百萬級的惡意IP信譽庫、惡意樣本等，均自動覆蓋到您的網(wǎng)站。

集群彈性擴容、輕松應對海量業(yè)務下的防護。傳統(tǒng)的防護模式、很難滿足業(yè)務突增(如秒殺促銷活動)、海量肉雞攻擊的場景，而云計算時代下的彈性擴容及大數(shù)據(jù)學習能力、將這些不可能都變成了過去。

在業(yè)務上，結合反欺詐、風控、人機識別等相關技術，在不修改應用代碼的情況下，完美的實現(xiàn)防撞庫、防爬防抓、接口濫用等業(yè)務防護需求；在產(chǎn)品的結合上，無論是和CDN的聯(lián)動打造安全的加速流量，還是和云解析的一鍵開通，無縫融合、滿足用戶業(yè)務的各種使用場景。

云WAF發(fā)展的新道路

誠然，曾經(jīng)的云WAF也有被人詬病之處，比如說攻擊者可以繞過WAF直接訪問源站地址進行定向攻擊；業(yè)務誤漏報后、不能很好的支持網(wǎng)站的規(guī)則自定義；數(shù)據(jù)的隱私泄露，HTTPS業(yè)務下私鑰的安全性等。但經(jīng)過這幾年技術的發(fā)展，這些都變成了歷史，不再是云WAF的弱點、取而代之的是下面的變革：

合規(guī)。積極的完成PCI-DSS認證需求，滿足企業(yè)對數(shù)據(jù)安全性的要求。針對數(shù)據(jù)庫的注入抓取等非授權行為做到安全防護，避免數(shù)據(jù)泄露。針對企業(yè)對HTTPS業(yè)務下的私鑰安全顧慮，推出Keysafe方案，無需上傳私鑰，同時支持對加密流量的安全防護。

嚴密。針對以往的指定源站IP進行定向攻擊繞過、一方面可在源站服務器上做安全準入控制、只允許云WAF的IP訪問，其余定向的訪問一律禁止；另一方面將站點流量全部置身于云WAF的防護中、實現(xiàn)網(wǎng)站的隱身，避免真實地址的暴露。

省心。充分利用云計算的大數(shù)據(jù)優(yōu)勢、建立起網(wǎng)站的正常模型。能夠清晰的梳理出網(wǎng)站的正常業(yè)務請求模型、讓0day漏洞無從繞過，正常的業(yè)務請求不被誤阻斷。網(wǎng)站接入初期開啟預警模式、保障線上業(yè)務的正常運行、在最短時間內(nèi)讓網(wǎng)站維護者清晰的清楚業(yè)務誤漏報概況。

全面。高性能SSL支持，數(shù)據(jù)鏈路加密。防護能力更多的覆蓋到如撞庫、接口濫用、業(yè)務欺詐、風控識別等業(yè)務場景中。

貼心。針對站點、URL等定制各種精細化的防護策略；提供友好可自定義的出錯、攔截頁面；給予網(wǎng)站用戶最好的使用體驗。一切皆可定制，打造成你自己想要的那一個。

對于數(shù)據(jù)隱私要求性非常高的金融行業(yè)，WAF是必備的防護利器。阿里云WAF除了支持云內(nèi)客戶的網(wǎng)站安全防護，也支持云外客戶的安全需求，通過DNS切換輕松一鍵接入。除此之外、阿里云安全為金融行業(yè)還可以提供各類安全服務（如白盒測試、黑盒測試、滲透測試、移動應用測試等），全力為客戶打造安全的解決方案。
本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的Web应用安全--攻防对抗发展趋势的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。