Web应用防火墙技术及应用 pdf下载

目录
第1章Web系统安全概述1
1.1Web系统安全现状1
1.2Web网站系统结构3
1.2.1静态网站3
1.2.2动态网站3
1.2.3Web服务器5
1.3Web安全漏洞6
1.3.1应用系统安全漏洞6
1.3.2Web漏洞类型6
1.3.3Web系统安全技术8
1.4Web安全威胁前沿趋势9
思考题11

第2章Web应用防火墙12
2.1WAF简介12
2.2WAF的功能及特点12
2.2.1WAF的功能13
2.2.2WAF的特点13
2.2.3WAF产品性能指标14
2.3WAF部署16
2.3.1串联防护部署模式16
2.3.2旁路防护部署模式18
2.4WAF防护原理19
2.4.1Web应用安全监测19
2.4.2双重边界20
2.4.3纵深防御体系22
思考题23Web应用防火墙技术及应用目录第3章HTTP校验和访问控制24
3.1HTTP24
3.1.1HTTP简介24
3.1.2统一资源定位符25
3.1.3HTTP请求25
3.1.4HTTP响应27
3.1.5HTTP消息28
3.1.6Cookie30
3.2HTTP校验31
3.3HTTP访问控制32
思考题33

第4章Web防护34
4.1弱密码34
4.1.1弱密码攻击34
4.1.2弱密码检测35
4.1.3弱密码防范36
4.2SQL注入36
4.2.1SQL注入攻击原理37
4.2.2SQL注入漏洞利用38
4.2.3SQL注入漏洞检测40
4.2.4SQL注入漏洞防范42
4.3跨站脚本攻击44
4.3.1XSS攻击原理45
4.3.2XSS漏洞利用47
4.3.3XSS漏洞检测48
4.3.4XSS防范49
4.4跨站请求伪造攻击52
4.4.1CSRF攻击原理52
4.4.2CSRF漏洞利用53
4.4.3CSRF漏洞检测54
4.4.4CSRF漏洞防范55
4.5恶意流量攻击57
4.5.1爬虫攻击分析57
4.5.2爬虫攻击防范62
4.5.3盗链攻击分析64
4.5.4盗链攻击防范66
4.6文件上传与下载攻击67
4.6.1文件上传攻击原理67
4.6.2文件上传攻击防范69
4.6.3文件下载攻击原理70
4.6.4文件下载攻击防范72
4.7Web服务器敏感信息泄露74
4.7.1敏感信息泄露原理74
4.7.2敏感信息泄露检测78
4.7.3敏感信息泄露防范78
思考题80

第5章网页防篡改82
5.1网页篡改的原理82
5.2攻击者常用的网页篡改方法83
5.3网页篡改防范技术85
5.3.1时间轮询技术86
5.3.2核心内嵌技术86
5.3.3事件触发技术87
5.3.43种网页防篡改技术的对比88
5.3.5网页防篡改系统90
思考题91

第6章分布式拒绝服务攻击防护92
6.1DDoS攻击原理92
6.2DDoS攻击现象与特点94
6.3DDoS攻击方式96
6.3.1攻击网络带宽资源96
6.3.2攻击系统资源100
6.3.3攻击应用资源103
6.4DDoS攻击的防御方法109
6.4.1DDoS攻击的治理109
6.4.2DDoS攻击的缓解114
思考题121

第7章威胁情报中心122
7.1威胁情报概述122
7.1.1威胁情报定义122
7.1.2威胁情报分类125
7.2威胁情报服务和威胁情报的用途126
7.3智慧Web应用防火墙128
思考题129

第8章典型案例130
8.1防数据泄露解决方案130
8.1.1背景及需求130
8.1.2解决方案及分析131
8.2防DDoS攻击解决方案132
8.2.1背景及需求132
8.2.2解决方案及分析133
8.3防网页篡改解决方案134
8.3.1背景及需求134
8.3.2解决方案及分析135

附录AWAF技术英文缩略语136

参考文献139

第5章网页防篡改



在社会信息化高速发展的今天，人们已经习惯通过浏览器和APP等客户端去访问Web网站，完成信息检索、网上购物和网上办公，攻击者对网站的攻击方法和手段也在不断变化，网页篡改就是针对Web网站、危害性极大的攻击方法之一。网页被篡改后，用户访问的页面是被攻击者篡改后的页面，可能会遭受极大的危害，导致财产损失。本章将介绍网页篡改的原理和防范技术。5.1网页篡改的原理网页篡改通过恶意破坏或更改网页内容导致网站无法正常工作。攻击者利用网站漏洞破坏和篡改网站信息，给网站所属组织机构带来重大的经济损失，并造成恶劣的社会影响。攻击者利用假冒页面模仿知名网站，误导用户输入用户名和口令等隐私信息；有的攻击者在Web服务器的网页中插入木马程序感染访问者的计算机，导致访问者计算机的系统崩溃、数据损坏和银行账户被盗等严重后果。据统计，2017年中国境内被篡改的网站数量为60 684个，被篡改的网站月度统计如图51所示。
图512017年中国境内被篡改的网站数量月度统计
从网页被篡改的方式来看，被植入暗链的网站占全部被篡改网站的68.0%，仍是中国境内网站被篡改的主要方式，但占比较前两年有所下降。从中国境内被篡改网页的顶级域名分布来看，.com、.net和.cn占比列前三位，分别占总数的 65.7%、7.6%和3.1%。2017年中国境内被篡改网站域名类型分布如图52所示。
图522017年中国境内被篡改网站域名类型分布
虽然目前已有防火墙、入侵检测等各种网络安全防范手段，但由于Web应用系统复杂多样，各种漏洞层出不穷，攻击者利用各种攻击手段攻击Web服务器，导致Web网站的网页被篡改，从而造成严重的后果。Web应用防火墙技术及应用第5章网页防篡改5.2攻击者常用的网页篡改方法1. SQL注入后获取Webshell
攻击者利用Web应用程序的漏洞，提交非法的SQL查询语句到数据库，利用Web服务器或第三方软件的漏洞获取网站服务器控制权限。主要步骤为以下三步: 第一步，发现SQL注入点；第二步，根据系统反馈的信息进一步进行注入，获取账号、密码等敏感信息；第三步，上传Webshell，获得一个反向连接。
2. 在Web页面中插入HTML代码
攻击者在Web页面中插入恶意HTML代码。当用户浏览该页面时，被嵌入的恶意HTML代码就会被执行，改变访问者的页面内容，从而达到恶意攻击用户的目的。
3. 控制Web服务器
Web服务器中存储着各种页面文件、数据文件和应用程序等供用户浏览和下载。攻击者可通过搜集服务器敏感信息了解到服务器版本漏洞，从而获取服务器权限、数据库管理权限，进而控制Web服务器。
4. 控制DNS服务器
DNS(域名系统)将域名转换为IP地址，这样用户就不再需要记忆复杂而又毫无规律的IP地址，只需输入简单的域名即可访问网站。攻击者对网站的域名服务器进行攻击并获取域名的解析权限，然后改变域名对应的IP地址以达到篡改网页的目的。
5. ARP攻击
ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈低层的协议，负责将IP地址解析成对应的MAC地址。通过ARP欺骗进行网页劫持的攻击会使Web服务器访问速度变慢，攻击者针对Web服务器所在的网段进行攻击，当其掌握了同网段的某台主机后，向Web服务器所在的主机发送ARP欺骗包，以截取并篡改请求访问网页的数据包，添加包含木马程序的网页链接，引诱访问者或者Web服务器指向此网页链接以达到篡改网页的目的。
根据劫持网页的位置不同，可将ARP攻击分为两种: 一种是劫持并篡改局域网内客户端访问获得的网页；另一种是劫持并篡改局域网内Web服务器对外提供的网页。
第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断重复，使正确的地址信息无法通过更新方式保存在路由器中，因此路由器的所有数据只能发送给错误的MAC地址，而正常主机无法收到信息。客户端网页劫持流程如图53所示。
图53客户端网页劫持流程
第二种ARP欺骗的原理是伪造网关。它建立一个假网关，则被它欺骗的主机只会向假网关发数据，而不是通过正常的路由器途径上网，导致主机无法联网。ARP欺骗木马只需成功感染一台主机，就可导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。服务器端网页劫持流程如图54所示。
图54服务器端网页劫持流程
5.3网页篡改防范技术网页防篡改是一种防止攻击者修改Web页面的技术，可以有效地阻止攻击者对网站Web页面进行恶意篡改。
为更好地介绍网页防篡改技术，以美术馆大楼为例来说明。Web服务器就是美术馆大楼，Web服务器中的文件目录就是美术馆大楼的展厅，每个网页文件就是展厅中挂着的作品。这些作品每天由工作人员不断管理维护，同时每天也有成千上万的游览者来观赏这些作品。网页防篡改系统就是保证游览者看到的作品是真实的原作，而不是被非法者更换后的赝品。
一个有效的网页防篡改系统必须达到以下两个要求:
（1） 实现对网页文件的完整性检查和保护，并达到100%的防护效果，即被篡改网页不可能被用户访问到。
（2） 实现对已知的来自Web的数据库攻击手段的防范。
下面介绍几种常见的网页防篡改技术。
5.3.1时间轮询技术
时间轮询技术是用网页检测程序以轮询扫描的方式监控网页，并将监控的网页与正确网页相比较，以判断网页内容的真实性和完整性，若网页被篡改，则立即进行报警和恢复。采用时间轮询技术的网页防篡改系统部署实现简单，但由于相邻两次网页轮询扫描之间存在着一定的时间间隔，攻击者可以在这个时间间隔中发动攻击，导致用户访问到被篡改的网页。另外，时间轮询需要从外部不断扫描Web服务器文件，这会增加Web服务器的负载，且由于扫描频度（以及安全性）和负载总是矛盾的，Web服务器的安全性也会降低。图55为时间轮询监测流程。
图55时间轮询监测流程
时间轮询就像是美术馆大楼配备一个保安对所有的作品进行巡检，他以一个普通观光者的身份在大楼中检查每个展厅的每个作品，与手里保存的作品的复制品进行比较，发现有可疑之处即进行报警。
这种方式最大的缺点是: 当大楼规模很大，展厅和作品很多时，保安的工作量会非常大。并且对于某一作品，由于两次检查的时间间隔会很长，从保安本次巡检结束到下一次巡检到这个作品时有很长一段时间间隔，攻击者可以在这段时间内更换作品以达到攻击目的。
在网站的规模较小，网站中包含的页面较少的情况下，可以使用时间轮询技术防止网页被篡改。但当网站规模变大，网页特别多的时候，使用时间轮询技术所需的轮询检测时间较长，且占用系统资源较大，因此该技术逐渐被淘汰。
5.3.2核心内嵌技术
核心内嵌技术又称密码水印技术。它将篡改检测模块内嵌在Web服务器里，先将网页内容采取非对称加密方式存放（非对称加密算法需要两个密钥——公钥和私钥来进行加密和解密，更加安全）。当用户请求访问网页时，将已经过加密验证的网页内容进行解密，对外发布;若未经过验证，则拒绝对外发布。此技术通常结合事件触发机制对文件的部分属性进行对比，如文件大小、页面生成时间等。
核心内嵌可以看作是保安在任何一位游览者观赏任何一个作品之前都要对该作品进行一次检查，若发现该作品可疑，即阻止游览者观赏。
这种方式的显著优点是: 每个作品在每次被观赏前都会进行检查，因此可疑作品完全没有被游览者看到的可能。其缺点是: 由于存在检查手续，降低了美术馆接待游览者的能力。
核心内嵌以无进程、篡改网页无法流出、使用密码学算法作支撑而著称，在服务器正式提交网页内容给用户之前对网页进行完整性检查，对于已被篡改的网页进行实时访问阻断，并予以报警和恢复。其原理是: 对每一个流出的网页进行水印（也就是散列值）检查，如果发现当前水印和之前记录的水印不同，则可断定该文件被篡改，即阻止其继续流出，并运行恢复程序进行恢复。这样即使攻击者通过各种未知的手段篡改了网页文件，被篡改的网页文件也无法流出服务器，被公众访问到。图56是核心内嵌结构。
图56核心内嵌结构
核心内嵌技术避开了时间轮询技术的缺点（有轮询间隔），其安全性相对于时间轮询技术也大为提高。其缺点是需要对每个流出网页都进行完整性检查，加密计算会占用大量服务器资源，给服务器造成较大负载，使系统反应较慢。随着技术的发展以及网络应用程序的增多，服务器的负载和资源利用要求十分苛刻，任何大量占用服务器资源的部分都会被慢慢淘汰，以确保网站的访问效率。
5.3.3事件触发技术
事件触发技术是目前主流的网页防篡改技术之一，也是服务器负载最小的一种检测技术，经常和前面两种技术结合起来使用。该技术以稳定、可靠、占用资源少著称。其原理是: 通过监控网站目录，利用操作系统的文件系统接口，在网页文件被修改时进行合法性检查，根据规则判定是否是非法篡改，如果是非法篡改，立即进行报警和恢复。
事件触发技术就像美术馆大楼在正门进口处配备一个保安，保安对每一个作品进行检查，发现有可疑之处即进行报警。
由于美术馆大楼的结构十分复杂，攻击者通常不会选择从正门进来，而会从天花板、下水道甚至利用大楼结构的薄弱处自己挖洞进入，新的进入点会不断被发现，可见防守正门进口的策略是不能做到万无一失的，并且一旦非法作品混进了大楼，就再也不会对其进行检查，因而它也就再也不会被发现。这种方式的显著优点是: 防范成本低，可以从根本上对非法篡改进行阻止。其缺点是: 如果攻击者完全控制主机，那么这种技术就没有用武之地。
可以看出，该技术是典型的“后发制人”，即非法篡改已经发生后才可进行报警和恢复，其安全隐患有3个方面:
（1） 如果攻击者采取连续篡改的攻击方式，则网页很可能一直无法恢复，用户看到的一直是被篡改的网页。因为只有篡改发生后，防篡改程序才尝试进行恢复，有一个系统延迟的时间间隔，而连续篡改攻击是对一个文件进行每秒上千次篡改，这样文件恢复的速度永远也赶不上连续篡改的速度。
（2） 如果文件被非法篡改后立即被恶意劫持，即攻击者通过浏览器劫持手段控制用户计算机的浏览器，则防篡改进程将无法对该文件进行恢复。
（3） 事件触发技术的防篡改功能依赖于目录监控程序，如果监控程序被强行终止，则防篡改功能立刻消失，网站目录又面临被篡改的危险。

网络空间安全重点规划丛书编审委员会顾问委员会主任： 沈昌祥（中国工程院院士）
特别顾问： 姚期智（美国国家科学院院士、美国人文及科学院院士、中国科学院院士、“图灵奖”获得者）
何德全（中国工程院院士）蔡吉人（中国工程院院士）
方滨兴（中国工程院院士）吴建平（中国工程院院士）
王小云（中国科学院院士）
主任： 封化民
副主任： 韩臻李建华张焕国冯登国
委员： （按姓氏拼音为序）
蔡晶晶曹珍富陈克非陈兴蜀杜瑞颖杜跃进
段海新范红高岭宫力谷大武何大可
侯整风胡爱群胡道元黄继武黄刘生荆继武
寇卫东来学嘉李晖刘建伟刘建亚马建峰
毛文波潘柱廷裴定一钱德沛秦玉海秦志光
卿斯汉仇保利任奎石文昌汪烈军王怀民
王劲松王军王丽娜王美琴王清贤王新梅
王育民吴晓平吴云坤徐明许进徐文渊
严明杨波杨庚杨义先俞能海张功萱
张红旗张宏莉张敏情张玉清郑东周福才
左英男
丛书策划： 张民21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化已成为当今世界发展的潮流和核心，而信息安全在信息社会中将扮演极为重要的角色，它会直接关系到国家安全、企业经营和人们的日常生活。 随着信息安全产业的快速发展，全球对信息安全人才的需求量不断增加，但我国目前信息安全人才极度匮乏，远远不能满足金融、商业、公安、军事和政府等部门的需求。要解决供需矛盾，必须加快信息安全人才的培养，以满足社会对信息安全人才的需求。为此，教育部继2001年批准在武汉大学开设信息安全本科专业之后，又批准了多所高等院校设立信息安全本科专业，而且许多高校和科研院所已设立了信息安全方向的具有硕士和博士学位授予权的学科点。
信息安全是计算机、通信、物理、数学等领域的交叉学科，对于这一新兴学科的培养模式和课程设置，各高校普遍缺乏经验，因此中国计算机学会教育专业委员会和清华大学出版社联合主办了“信息安全专业教育教学研讨会”等一系列研讨活动，并成立了“高等院校信息安全专业系列教材”编审委员会，由我国信息安全领域著名专家肖国镇教授担任编委会主任，指导“高等院校信息安全专业系列教材”的编写工作。编委会本着研究先行的指导原则，认真研讨国内外高等院校信息安全专业的教学体系和课程设置，进行了大量前瞻性的研究工作，而且这种研究工作将随着我国信息安全专业的发展不断深入。系列教材的作者都是既在本专业领域有深厚的学术造诣、又在教学第一线有丰富的教学经验的学者、专家。
该系列教材是我国第一套专门针对信息安全专业的教材，其特点是：
① 体系完整、结构合理、内容先进。
② 适应面广：能够满足信息安全、计算机、通信工程等相关专业对信息安全领域课程的教材要求。
③ 立体配套：除主教材外，还配有多媒体电子教案、习题与实验指导等。
④ 版本更新及时，紧跟科学技术的新发展。
在全力做好本版教材，满足学生用书的基础上，还经由专家的推荐和审定，遴选了一批国外信息安全领域的优秀教材加入到系列教材中，以进一步满足大家对外版书的需求。“高等院校信息安全专业系列教材”已于2006年年初正式列入普通高等教育“十一五”国家级教材规划。
2007年6月，教育部高等学校信息安全类专业教学指导委员会成立大会暨第一次会议在北京胜利召开。本次会议由教育部高等学校信息安全类专业教学指导委员会主任单位北京工业大学和北京电子科技学院主办，清华大学出版社协办。教育部高等学校信息安全类专业教学指导委员会的成立对我国信息安全专业的发展起到重要的指导和推动作用。2006年教育部给武汉大学下达了“信息安全专业指导性专业规范研制”的教学科研项目。2007年起该项目由教育部高等学校信息安全类专业教学指导委员会组织实施。在高教司和教指委的指导下，项目组团结一致，努力工作，克服困难，历时5年，制定出我国第一个信息安全专业指导性专业规范，于2012年年底通过经教育部高等教育司理工科教育处授权组织的专家组评审，并且已经得到武汉大学等许多高校的实际使用。2013年，新一届“教育部高等学校信息安全专业教学指导委员会”成立。经组织审查和研究决定，2014年以“教育部高等学校信息安全专业教学指导委员会”的名义正式发布《高等学校信息安全专业指导性专业规范》（由清华大学出版社正式出版）。
Web应用防火墙技术及应用出版说明2015年6月，国务院学位委员会、教育部出台增设“网络空间安全”为一级学科的决定，将高校培养网络空间安全人才提到新的高度。2016年6月，中央网络安全和信息化领导小组办公室（下文简称中央网信办）、国家发展和改革委员会、教育部、科学技术部、工业和信息化部及人力资源和社会保障部六大部门联合发布《关于加强网络安全学科建设和人才培养的意见》（中网办发文〔2016〕4号）。为贯彻落实《关于加强网络安全学科建设和人才培养的意见》，进一步深化高等教育教学改革，促进网络安全学科专业建设和人才培养，促进网络空间安全相关核心课程和教材建设，在教育部高等学校信息安全专业教学指导委员会和中央网信办资助的网络空间安全教材建设课题组的指导下，启动了“网络空间安全重点规划丛书”的工作，由教育部高等学校信息安全专业教学指导委员会秘书长封化民校长担任编委会主任。本规划丛书基于“高等院校信息安全专业系列教材”坚实的工作基础和成果、阵容强大的编审委员会和优秀的作者队伍，目前已经有多本图书获得教育部和中央网信办等机构评选的“普通高等教育本科国家级规划教材”“普通高等教育精品教材”“中国大学出版社图书奖”和“国家网络安全优秀教材奖”等多个奖项。
“网络空间安全重点规划丛书”将根据《高等学校信息安全专业指导性专业规范》（及后续版本）和相关教材建设课题组的研究成果不断更新和扩展，进一步体现科学性、系统性和新颖性，及时反映教学改革和课程建设的新成果，并随着我国网络空间安全学科的发展不断完善，力争为我国网络空间安全相关学科专业的本科和研究生教材建设、学术出版与人才培养做出更大的贡献。
我们的Email地址是： zhangm@tup.tsinghua.edu.cn，联系人： 张民。

“网络空间安全重点规划丛书”编审委员会没有网络安全，就没有国家安全；没有网络安全人才，就没有网络安全。
为了适应对网络安全人才的需要，如今，许多学校都在下大功夫、花大本钱，聘请优秀教师，招收优秀学生，建设一流的网络空间安全专业，努力培养网络安全人才。
网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是培养网络空间安全专业人才的关键。但是，这又是一项十分艰巨的任务。原因有二: 其一，网络空间安全的涉及面非常广，至少包括密码学、数学、计算机、通信工程、信息工程等多个学科，因此，其知识体系庞杂，难以梳理；其二，网络空间安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。
“Web应用防火墙技术及应用”是网络空间安全和信息安全专业的基础课程，其目标是使学生掌握Web应用防火墙技术及应用。
本书涉及的知识面很宽。全书共8章。第1章为Web系统安全概述，第2章介绍Web应用防火墙，第3章介绍HTTP校验和访问控制，第4章介绍Web防护，第5章介绍网页防篡改，第6章介绍分布式拒绝服务攻击防护，第7章介绍威胁情报中心，第8章介绍典型案例。
本书既适合作为网络空间安全、信息安全等专业的本科生相关专业基础课程的教材，也适合作为网络安全研究人员的入门基础读物。本书的内容将随着新技术的发展而更新。
由于作者水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。

作者2018年8月