zjwshenxian 发表于 2023-4-3 21:19
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
新手210358 发表于 2023-4-6 10:43
  
感谢楼主精彩分享,每天进步一点点
yyh 发表于 2023-4-11 10:55
  
感谢楼主分享,每日学习打卡
【原创分享挑战】深信服AF-http异常检测分析测试
  

李会斌 114865人觉得有帮助

{{ttag.title}}
本帖最后由 李会斌 于 2023-3-10 08:50 编辑

HTTP异常检测

       超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。      

http工作原理:
(1)客户与服务器建立连接;
(2)客户向服务器提出请求;
(3)服务器接受请求,并根据请求返回相应的文件作为应答;
(4)客户与服务器关闭连接。

       业务系统在进行编码时,容易忽视安全的编码规范,导致一些HTTP的异常语句允许被执行,从而带来HTTP的安全风险。同时再来对业务系统进行整改时,又相对困难,且对业务有一些的影响,所以需要通过额外的防护手段来进行有检测的识别这些异常访问的风险,并对其进行拦截。

AF拦截HTTP功能介绍:
        AF对HTTP协议访问过程中,出现的协议异常的数据进行检测和识别,当与所配置的检测规范所匹配时,拦截其访问行业,减少安全风险。

该功能包括目前共由四部分功能组成,分别如下:

(1)方法过滤:对目前业务系统只允许指导的方法进行访问,非指定的一律进行拦截;
(2)HTTP头部字段SQL注入检测:对HTTP指导的头部字段进行SQL注入的检测,当检测到该字段也存在SQL注
入语句时,进行拦截;
(3)溢出检测:对HTTP指定字段的长度进行检测,如超出指定长度,即对其进行拦截;
(4)协议异常:对异常的协议进行检测和拦截,如“Content-Type头部字段”出现了重复的识别和拦截。

个性化加强WEB防护场景

(1)主要障碍:业务系统中,允许了一些异常的HTTP请求被执行,异常业务系统存在一定的安全风险,而目前对业务系统的情况比较了解,但直接修复业务系统自身存在障碍,所以需要有手段可以在不改变业务系统的情况下,实现这些HTTP协议异常数据的识别和拦截。

(2)功能价值:可以通过部署AF在WEB服务器前端,对访问数据中心的Web应用业务流量进行深度检测,发现匹配到所配置的异常HTTP请求数据后,对其进行拦截,达到防护效果。

配置思路-预设条件

(1)需要明确所防护网站的端口是否是标准80端口。
(2)需要明确所防护网站是否是采用https加密传输。
(3)需要明确业务系统的“正常访问”或“异常访问”都有哪些。

配置步骤

(1)完成业务系统的对象定义;
(2)进入【对象】-【安全策略模板】-【WEB应用防护】,完成对象模板新增。手动开启并配置“预制条件”中收集的正常/异常HTTP数据,完成【HTTP异常检测】功能配置;
(3)进入【策略】-【安全策略】-【安全防护策略】,完成【业务防护策略】关于“WEB应用防护”功能的策略配置。
(4)验证上一步所配置策略有效性有效性,是否可达预期。
(5)点击【监控】-【安全日志】,是否可查看到相应的“WEB应用防护”日志。

配置案例如下:
     在AF上已完成常规的WEB安全防护,同时我们与用户提出,他有业务系统目前没有需要使用“put”方法的需求,但实际put方法在他的业务系统里可被执行,希望通过AF把所有put访问的HTTP请求都进行拦截。

1、定义业务对象:【对象】——【网络对象】界面新增“IP地址对象”,如下图:

(2)【对象】-【安全策略模板】-【WEB应用防护】中,定义“WEB应用防护”模板,重点注意需要配置【高级配置】-【HTTP异常检测】的功能,确认【方法过滤】功能的“PUT方法”为勾选状态(勾选即为拦截状态)。因为端口是标准80端口,所以端口也保持默认即可,配置如图:

3、【策略】-【安全策略】-【安全防护策略】中,添加“业务防护策略”,此次只介绍“WEB应用防护”,所以只添加这一个功能的策略,配置如图:
4、通过“xhack”工具,抓取访问目标业务系统的正常访问数据,同时把使用的方法手动改为“PUT方法”,然后再发起请求,检测到数据被拦截,截图如下:
5、AF日志查看:在【监控】-【日志】-【安全日志】中,查询相应的日志记录,截图如下:

64266640849f6ba276.png (293.96 KB, 下载次数: 210)

64266640849f6ba276.png

5606264084a7eb2033.png (180 KB, 下载次数: 229)

5606264084a7eb2033.png

打赏鼓励作者,期待更多好文!

打赏
46人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
纪元平台
每日一问
新版本体验
产品连连看
社区新周刊
干货满满
技术咨询
GIF动图学习
标准化排查
自助服务平台操作指引
功能体验
每周精选
社区帮助指南
VPN 对接
技术笔记
秒懂零信任
技术盲盒
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
2
1

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人