OWASP官方文档
本文用尽量简单的说清楚常见OWASP攻击的内容以及WAF对其防护方法。
版本对比
OWASP TOP10版本对比从图上可以看到明显的变化:
1、XEE单独做为一项,不再包含在注入中
2、敏感信息泄露提升到A3,更注重信息安全
3、新增不安全的反序列化
4、日志和监控被单独做为一项提出来
其他可参考附件文档
OWASP常见对应攻击
WAF对OWASP的支持
WAF默认支持OWASP描述的攻击
规则引擎
参考https://cloud.tencent.com/document/product/627/49032
规则引擎主要负责常见的漏洞以及攻击方法的防御
可通过规则引擎-规则设置功能配置默认规则
常见规则有:
- Webshell检测防护
- XSS攻击
- XML注入攻击
- 恶意扫描
- 不合规协议
- WEB应用漏洞攻击
- 文件上传攻击
- 开源组件漏洞攻击
- ldap注入攻击
- ……
补充功能
规则引擎只是拦截了OWASP中的被动防御,而OWASP中很多功能,比如日志和监控,比如安全配置,是需要用户主动配置的,这一部分需要有其他功能完成,包含
- 自定义策略
- 防信息泄露
- 网页防篡改
- 恶意文件检测
- 日志统计与访问监控
高级功能
OWASP是最基础的Web安全,WAF除了支持OWASP以外,还有其他很多高级功能,这些功能可以从更多维度对Wed服务做防护,同时也增强了OWASP的涉及攻击的防御能力,主要功能有
- AI引擎
- Bot行为管理
