实现会话超时 。超出默认时间会话将失效 , 并且用户将被要求重新认证 。用户在长时间没有请求时将会自动退出登录 。
会话劫持的检测和防御 。许多情况下 , 会话劫持会改变IP地址和一些请求数据(HTTP请求的报头会不同) 。状态监控工具能检测出这些异常并防止非法应用的发生 。在这种情况下应该终止会话 , 要求用户重新认证 , 并且记录一个警告日志信息 。
只允许包含在前一请求应答中的链接 。一些WAF很严格 , 只允许用户访问前一次请求返回页面中的链接 。这看上去是一个有趣的特点但很难得到实施 。一个问题在于它不允许用户使用多个浏览器窗口 , 另一个问题是它令使用JavaScript自动建立连接的应用失效 。
其他防护技术
WAF的另外一些安全增强的功能用来解决WEB程序员过分信任输入数据带来的问题 。比如:
隐藏表单域保护 。有时 , 内部应用数据通过隐藏表单变量实现 , 而它们并不是真的隐藏的 。程序员通常用隐藏表单变量的方式来保存执行状态 , 给用户发送数据 , 以确保这些数据返回时未被修改 。这是一个复杂繁琐的过程 , WAF经常使用密码签名技术来处理 。
Cookies保护 。和隐藏表单相似的是 , cookies经常用来传递用户个人的应用数据 , 而不一样的是 , 一些cookies可能含有敏感数据 。WAFs 通常会将整个内容加密 , 或者是将整个cookies机制虚拟化 。有了这种设置 , 终端用户只能够看到cookies令牌(如同会话令牌) , 从而保证 cookies在WAF中安全地存放
抗入侵规避技术 。基于网络的IDS对付WEB攻击的问题就是攻击规避技术 。改写HTTP输入请求数据(攻击数据)的方式太多 , 并且各种改写的请求能够逃避IDS探测 。在这个方面如果能完全理解HTTP就是大幅度的改进 。比如 , WAF每次可以看到整个HTTP请求 , 就可以避免所有类型的HTTP请求分片的攻击 。因为很好的了解HTTP协议 , 因此能够将动态请求和静态请求分别对待 , 就不用花大量时间保护不会被攻击的静态数据 。这样WAF可以有足够的计算能力对付各种攻击规避技术 , 而这些功能由NIDSs完成是很耗时的 。
【Web应用防火墙入门】 响应监视和信息泄露保护 。信息泄露防护是我们给监视HTTP输出数据的一个名称 。从原理上来说它和请求监视是一样的 , 目的是监视可疑的输出 , 并防止可疑的 http输出数据到达用户 。最有可能的应用模式是监视信用卡号和社会保险号 。另外 , 这个技术的另一项应用是发现成功入侵的迹象 。因为有经验攻击者总会给信息编码来防止监测 , 所以防止这样有决心并技术熟练的攻击者获取信息是很困难的 。但是 , 在攻击者没有完全掌控服务器而仅仅尝试WEB应用的安全漏洞的情况下 , 这项技术可以起到防护效果 。
推荐阅读
- WEB安全---防范XSS跨站式脚本攻击
- 解析MAC地址通知特性应用及相关配置
- vivox60怎么隐藏应用
- 联想小新应用商店在哪
- 荣耀9x如何隐藏应用 荣耀9x如何隐藏应用软件
- 哪些手机支持应用分身
- IISUTM网站防火墙 V1.1 免费试用活动
- 苹果下架对手app应用 副总裁:下架竞品侵犯用户隐私
- 魅族16s管理应用权限教程
- iPhone应用加密怎么设置 苹果手机怎么给应用上密码锁