言不由衷 发表于 2021-4-10 08:32
  
感谢分享,过来盖楼学习来了!
697480 发表于 2021-4-12 11:39
  
高质量的功能,
深藏功与名 发表于 2021-4-13 17:01
  
这个一定要收藏,下来试试看看
玉米 发表于 2021-7-5 23:54
  
感谢楼主无私分享,学习学习                          
新手486484 发表于 2021-7-5 23:58
  
感谢楼主无私分享,学习学习              
​ Web绕过防不胜防?深信服下一代防火墙为您支招(文末赠送云蜜罐试用福利)
  

Sangfor_闪电回_朱丽 45523人觉得有帮助

{{ttag.title}}
​​

Web业务边界被绕过事件屡见不鲜,原因是什么

根据 Neustar 国际安全委员会2020年的调查,49% 的安全专业人员表示,在过去 12 个月中,超过四分之一的 Web 应用攻击都是采用绕过手段并且入侵成功。其根源在于利用HTTP协议复杂性成功绕过边界防御,具体如下:

1、多种攻击入口:HTTP协议请求结构复杂,对攻击者来说意味着存在多个攻击入口。
图片1.png
HTTP协议请求结构

2、多种编码方式:由于业务不可预测的变化性、大量的Web框架和Web服务器,导致编码类型和编码顺序复杂多样,如果安全设备对编码类型识别不全,或只能对特定编码顺序的数据进行解析,则攻击者可以利用编码轻松绕过,安全能力大打折扣。

3、多种语句变化:攻击者会采用业务也经常使用的操作(如转义、拼接、赋值等)来隐藏其恶意,如果安全设备无法深入理解代码语义,还原攻击特征,则无法应对各种绕过攻击。


基于HTTP解析链,某公司下一代防火墙全程有效防御攻击

从HTTP解析链分析来看,要加强Web防绕过能力需要从协议异常解析能力、编码解析能力,以及语句深度识别能力三方面入手。

首先,加强协议异常解析能力。
对HTTP请求协议的每一部分针对性加强解析能力:针对请求行,对不常见的HTTP请求方法(PUT、Delete等)设置黑白名单,达到请求方法的“权限最小化”;针对请求头,覆盖所有头部字段的攻击检测,如Content-Type随机大小写变化、重复头部字段等问题;针对请求体,加强对Multipart、 Chunk等格式的数据进行攻击检测。

针对协议层面暴露的绕过风险,某公司下一代防火墙深入加强HTTP协议异常解析能力,全面覆盖请求行、请求头及请求体各个字段的检测,HTTP协议异常检测率高达90%以上。

其次,加强编码解析能力。
1)基于编码特征的数据还原:通过依次循环识别编码类型,走到相应的解码过程。无论攻击者依据什么样的编码顺序进行编码,对于解码过程都不会有影响。
图片2.png
基于编码特征的数据还原

2)提升编码类型的识别率:不论是常见编码还是小众编码,是单一编码或混合编码,都能成功解析。

3)提取关键字段靶向分析:一方面增大编码类型识别的准确度,另一方面也能进一步降低检测过程中其他字符的干扰。
图片3.png 提取关键字段靶向分析
针对过去由于编码类型覆盖不全、多层编码无法解析等原因,导致传统边界安全设备容易被绕过的问题,某公司下一代防火墙基于以上技术,实现了更全面、更精准的编码解析能力,整体编码解析率达99.24%,包括其他边界安全设备覆盖率低的小众编码290余种,如utf-7、 utf-16(BE/LE) 、utf-32(BE/LE) 等。

另外,加强攻击语句检测能力。
目前大多数检测引擎支持词法分析、语法分析和语义分析三件套,即分析其参数、操作、类型等,然后判断符合哪种语法,最后根据可疑的攻击特征来进行判黑。而面对攻击者有意识地隐藏攻击特征的行为,需要增加对语句的虚拟执行,根据执行后的结果进行判定,实现高精度的检出效果。

针对攻击者构造的隐藏恶意代码,某公司下一代防火墙的WISE智能语义引擎,在已有的词法+语法+语义解析的基础上,创新引入了虚拟执行技术,通过自底向上遍历语法树,执行可疑的操作,高度还原绕过手法,识别请求的真实意图。
图片4.png
WISE智能语义引擎解析示例

最后,联动云端蜜罐,主动诱捕并深度溯源「绕过」。

除了从HTTP解析链全过程加强防绕过能力,某公司下一代墙还对绕过攻击进行主动诱捕和深度溯源,即联动云蜜罐。

针对传统的被动型安全防御面临的攻击行为感知不及时、分析过程繁琐、处置效率低等问题,某公司下一代防火墙通过部署一些作为诱饵的伪装业务,诱捕攻击行为,再引流至云端蜜罐,通过云端蜜罐的高仿真虚拟环境及多种分析引擎,实现:
一诱捕攻击,转移黑客攻击,保护真实业务;
二深度溯源攻击者画像,实现监控取证;
三针对攻击者唯一指纹进行封锁,即使更换攻击IP仍可拦截。
图片5.png
下一代防火墙主动诱捕及深度溯源功能展示
一个小福利:试用云蜜罐一个月
感兴趣的快来试试吧
扫描下方二维码
体验主动诱捕及深度溯源能力
图片6.png
图片7.png

聚焦安全效果,某公司下一代防火墙秉持“提升用户业务边界安全效能”的安全理念,不断进行技术更新,持续增强安全能力,更有效的帮助用户抵御安全威胁。截止目前,某公司下一代防火墙有10万+台设备稳定运行,覆盖全行业,赢得各级政府单位、教育、医疗、大型企业、金融等众多用户的认可,广泛应用于互联网出口、对外业务发布、分支机构、数据中心、物联网等场景,为更多用户业务提供持续的安全保护!

​​​​

打赏鼓励作者,期待更多好文!

打赏
13人已打赏

发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
秒懂零信任
自助服务平台操作指引
信服课堂视频
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人