Web 應(yīng)用程序防火墻(WAF) 是 Web 應(yīng)用程序/網(wǎng)站/網(wǎng)絡(luò)服務(wù)器與 Internet 流量之間的第一道防線。互聯(lián)網(wǎng)流量包括好的和惡意的流量和請求。因此，使用 WAF 有助于保護 Web 應(yīng)用程序/網(wǎng)站/Web 服務(wù)器免受不良流量和惡意行為者試圖策劃的不同類型的網(wǎng)絡(luò)攻擊。

WAF 是Web 應(yīng)用程序安全和網(wǎng)絡(luò)安全策略中 至關(guān)重要且不可或缺的一部分，因為它能夠識別并立即修補應(yīng)用程序和服務(wù)器中的漏洞，立即阻止所有惡意行為者發(fā)現(xiàn)這些漏洞和漏洞，從而為開發(fā)人員提供修復(fù)的緩沖時間他們。

WAF 旨在阻止的 8 種網(wǎng)絡(luò)攻擊類型

1. DDoS攻擊

DDoS 攻擊 試圖用虛假流量壓倒目標(biāo) Web 應(yīng)用程序/網(wǎng)站/服務(wù)器，耗盡網(wǎng)絡(luò)帶寬，并使其對合法用戶不可用。DDoS 攻擊以幾種不同的方式發(fā)生，包括放大、泛洪、基于協(xié)議和反射。一些常見但危險的 DDoS 攻擊類型包括 DNS 放大、死亡 Ping、Smurf 攻擊、HTTP 洪水、SYN 洪水等。

WAF 通過應(yīng)用程序的日常掃描、全天候監(jiān)控、全球威脅情報和機器學(xué)習(xí)來識別偽裝機器人、惡意請求等并阻止它們，從而阻止這些攻擊。借助 AppTrana 等托管 WAF，由經(jīng)過認(rèn)證的安全專業(yè)人員進(jìn)行的定期滲透測試和安全審計有助于阻止 DDoS 攻擊。

2. SQL注入攻擊

在這些攻擊中，犯罪者以請求或查詢的形式在 Web 應(yīng)用程序的用戶輸入字段（如提交表單、聯(lián)系表單等）中注入惡意 SQL 代碼。這樣做，他們可以訪問應(yīng)用程序的后端數(shù)據(jù)庫，然后潛入其中提取客戶或企業(yè)本身的敏感和機密信息，獲得未經(jīng)授權(quán)的管理訪問，修改或刪除數(shù)據(jù)等，甚至完全控制 Web 應(yīng)用程序。SQL 注入攻擊主要是由于用戶輸入字段和提交表單沒有受到保護以防止輸入代碼和其他未經(jīng)清理的輸入。

3. 跨站腳本（XSS）攻擊

XSS 攻擊 針對易受攻擊的 Web 應(yīng)用程序/網(wǎng)站的用戶，以訪問和控制他們的瀏覽器。在這里，攻擊者利用應(yīng)用程序中的漏洞和漏洞注入惡意腳本/代碼，這些腳本/代碼在毫無戒心的用戶加載應(yīng)用程序/網(wǎng)站時執(zhí)行。在反射型 XSS 攻擊中，惡意代碼只有在用戶單擊鏈接時才會執(zhí)行，而在存儲型 XSS 攻擊中，惡意負(fù)載會存儲在 Web 瀏覽器中，并在用戶每次訪問網(wǎng)站/應(yīng)用程序時執(zhí)行（無論他們查看/下載/點擊鏈接沒關(guān)系）。XSS 攻擊使用戶的個人和機密信息受到威脅，并經(jīng)常導(dǎo)致身份盜用、會話劫持等。這些攻擊的發(fā)生要么是因為用戶輸入字段，如評論部分、用戶帖子、反饋等。

4. 零日攻擊

零日攻擊 是指組織僅在攻擊發(fā)生時才知道硬件/軟件中存在漏洞的攻擊。這些都是出乎意料的，因此對企業(yè)來說非常有害，因為他們沒有快速修復(fù)或補丁來保護他們的應(yīng)用程序。另一方面，網(wǎng)絡(luò)攻擊者可能以前一直在窺探應(yīng)用程序，并在發(fā)現(xiàn)漏洞后立即利用這些漏洞。

配備機器學(xué)習(xí)功能（如 AppTrana）的托管智能 WAF 不僅可以阻止錯誤請求和分析攻擊模式，還可以將用戶列入白名單、挑戰(zhàn)請求，并基于學(xué)習(xí)持續(xù)管理策略和規(guī)則。

5. 業(yè)務(wù)邏輯攻擊

業(yè)務(wù)邏輯是 UI 與數(shù)據(jù)庫和軟件系統(tǒng)之間連接和傳遞信息的關(guān)鍵元素，使用戶能夠有效地使用 Web 應(yīng)用程序/網(wǎng)站。當(dāng)業(yè)務(wù)邏輯中存在差距、錯誤或重疊時，它會產(chǎn)生漏洞，網(wǎng)絡(luò)攻擊者通常會利用這些漏洞來獲取金錢和其他優(yōu)勢。攻擊者不會使用格式錯誤的請求和惡意負(fù)載來編排業(yè)務(wù)邏輯攻擊。他們使用合法值和合法請求來利用應(yīng)用程序中的環(huán)境漏洞。業(yè)務(wù)邏輯機器人通常用于這些攻擊。

托管 WAF 最適合應(yīng)對這些攻擊，因為它們將機器的可擴展性、速度和準(zhǔn)確性與了解業(yè)務(wù)的認(rèn)證安全專業(yè)人員的專業(yè)知識、智能和創(chuàng)造性思維能力相結(jié)合。

6. 中間人攻擊

當(dāng)犯罪者將自己置于應(yīng)用程序和合法用戶之間，通過冒充兩方之一來提取密碼、登錄憑據(jù)、信用卡詳細(xì)信息等機密詳細(xì)信息時，就會發(fā)生這些攻擊。攻擊可以通過簡單的方式進(jìn)行策劃，例如在不受密碼保護的公共場所提供免費的惡意熱點。當(dāng)受害者連接到這些熱點時，他們會將其在線數(shù)據(jù)交換的完全可見性提供給攻擊者。DNS緩存中毒，IP欺騙，ARP欺騙等復(fù)雜手段用于攔截連接，HTTPS欺騙，SSL劫持，SSL野獸等用于解密雙向SSL流量而不提醒用戶或應(yīng)用程序。

7. 惡意軟件

惡意軟件攻擊是通過利用應(yīng)用程序漏洞或通過網(wǎng)絡(luò)釣魚等社會工程方法將木馬、勒索軟件、間諜軟件、rootkit 等惡意軟件注入網(wǎng)站/Web 應(yīng)用程序/服務(wù)器而精心策劃的。通過這樣做，攻擊者可以訪問機密信息、應(yīng)用程序的敏感部分、系統(tǒng)配置更改等。

8. 污損

在所有網(wǎng)絡(luò)攻擊中最簡單的污損攻擊中，犯罪者更改網(wǎng)站內(nèi)容并用自己的內(nèi)容替換以反映政治意識形態(tài)/議程，用有爭議的信息或圖像震驚用戶等等。在污損修復(fù)之前，Web 應(yīng)用程序可能對用戶不可用。

如前所述，托管、智能并配備全球威脅情報和 ML 能力的 Web 應(yīng)用程序防火墻可以有效且高效地應(yīng)對這 8 種網(wǎng)絡(luò)攻擊中的每一種。AppTrana提供了一種這樣的 WAF，它允許自定義規(guī)則、防止業(yè)務(wù)邏輯缺陷、確保零誤報并保持最高的 Web 安全標(biāo)準(zhǔn)。