WEB应用防护（Web应用防护的功能）

WEB应用防护（Web应用防护的功能）

预制条件

·需要明确所防护网站的端口是否是标准80端口。

·需要明确所防护网站是否是采用server，X-powered-by 状态码 （4xx ，5xx)

权限控制：

1.文件上传过略做限制，可新建，如（.docx）等。

2.粘贴业务URL路径做策略限制用户访问。

数据防泄密：

1.敏感信息防护（身份证，手机号，邮箱等）

2.文件下载过滤

如：.jar压缩包

注意事项

1.数据防泄密的敏感信息自定义，只支持正则表达式的形式。

2.数据防泄密的敏感文件过滤，需要对配置里的希望过滤的文件进行“勾选”后再会生效。

3.文件下载过滤只针对用户下载文件的后缀，不检测内容，后缀类型可以自定义手动添加。

useragent, host , other header也可新建字段

SQL：referer, useragent

SQL注入防护

F12也能看出一些and 1=1攻击语句

3.溢出检查

URL最大长度字节限制

Post最大长度字节限制

案列

查看安全日志

也可对漏扫，因为来源攻击IP会被转换成一个统一代理后发起访问就会导致AF看到来源地址只有一个很容易被理解成扫描行为

aswa扫描系统测试af测试是否生效

临时封锁会自动拦截

策略日志可以看到日志

自定义规则

1.WAF 应用防护规则 2.漏洞攻击规则 3.数据库泄密规则 4.僵尸网络规则

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。