Hillstone Web攻击防护技术解决方案白皮书.pdf

Hillstone Web攻击防护技术解决方案白皮书 范围： 市场类技术文档，面向售前工程师发布，作为售前工程师向客户传递产品功能原理及使用场景的素材文档，并可向有需 要的客户直接提供。 关键词：Web攻击防护，SQL注入，跨站脚本，CC攻击，外链检查，访问控制。 摘要： 本文介绍了Web攻击防护的需求背景、主要的Web攻击方法、Hillstone Web攻击防护解决方案的技术原理和特点。 主要缩略语： 缩略语 英文全称 中文解释 SQL Structured Query Language 结构化查询语言 XSS Cross-Site Script 跨站脚本攻击 CC Challenge Collapsar 挑战黑洞 OWASP Open Web Application Security Project Web应用程序安全项目 IPS Intrusion Prevention System 入侵防御系统 Web攻击与危害 当今的互联网中90%的应用都架设在Web平台上，网上银行、网络购物、网络游戏，以及企业网站等，成为 用户每天都要使用的业务。因此，Web安全成为继操作系统与业务软件安全之后又一热点，并且持续升温，重大 的Web攻击事件层出不穷，网络安全从业者开始跟黑客们在这一焦点领域不断的对抗。由于Web平台的多样性， 以及HTTP协议及数据库语言的灵活性，Web攻击形式也五花八门，主要的攻击方法有SQL注入、跨站脚本 （XSS ）、CC(Challenge Collapsar)等。 1.1 SQL注入攻击 SQL注入攻击通常是Web服务器对用户输入的参数未加过滤（或过滤不严格）就直接拼装用于数据库查询的 SQL语句造成的，很多Web应用都存在此类型的漏洞。SQL注入攻击可能产生如下危害：绕过登录验证；破坏数 据库的完整性；利用数据库备份机制种植木马；利用数据库的高级特性直接操作目标操作系统；篡改网页；盗取 用户资料。此类攻击一直被开放式Web应用程序安全项目（OWASP ）列为十大最严重的Web威胁之首。 销售/服务热线：400-828-6655 图1 典型SQL注入攻击过程 1.2 跨站脚本攻击 跨站脚本攻击与SQL注入漏洞的原理类似，依然是服务器没有对用户的输入进行足够安全的过滤。不同的 是，跨站脚本攻击注入的是浏览器上执行脚本，作为返回页面的一部分返回给浏览者，是一种客户端的攻击方 式，很多Web应用都存在此类型的漏洞。跨站脚本攻击可能产生如下危害：种植木马；盗取用户身份；隐蔽提 交；骗流量、骗点击率； DDoS攻击。此类攻击被开放式Web应用程序安全项目（OWASP ）列为十大最严重的 Web威胁第三位。 图2 典型跨站脚本攻击过程 销售/服务热线：400-828-6655 1.3 CC攻击 CC攻击是利用不断对网站发送HTTP连接请求来达到拒绝服务的目的，它是DDOS的一种。CC属于国内的叫 法，在国际上更通用的叫法是H