WAF是时候跟正则表达式说再见 破见 weibo.com/u/5261507198 正则表达式不适合用于构建WAF 现有WAF的解决方案 如何构建未来的WAF  Part 1  Part 2  Part 3 议题内容 Part 1 正则表达式不适合用于构建WAF 感性认识—误报和漏报难以平衡 尝试寻找有理证明 WAF自身安全 正则表达式 正则表达式 计算复杂度 正则表达式DDOS攻击 非Regex DOS WAF防御能力 正则表达式DDOS攻击 提出一种正则表达式的DDOS攻击： 正则表达式的最坏时间复杂度大于等 于?(?2 )，该正则表达式可被DDOS 攻击 输入长度 (K) PCRE/PHP(ms) JAVA(ms) 1 0.5 32 2 23 53 4 111 142 * select.*from 影响范围 owasp-modsecurity-crs Discuz_X3.3_SC_UTF8 wordpress-4.7.1 某云WAF/360_safe3.php (?i:(?:(union(.*?)select(.*?)from))) (?i:

0 码力 | 24 页 | 1.66 MB | 1 年前

3

防护，保证应用系统的安全运行。 （2）WAF WAF 通过分析来自客户端的 HTTP 请求，并根据其规则库对其进行检查， 以检测和阻止恶意攻击。在 Web 防护过程中，WAF 是一种专为保护 Web 应 用设计的防火墙。它位于 Web 应用和 Internet 之间，能够监控、过滤并阻止 HTTP 流量中的恶意攻击，如 SQL 注入、XSS 和 CSRF 攻击等。在 API 防护 过程中，WAF 可以提供实时监测和分析 可以提供实时监测和分析 API 的访问日志，并能够迅速发现异 常行为。WAF 可以记录所有请求数据，包括来源 IP、用户代理、参数等，并能 够根据事先设置的安全策略进行分析和识别。当异常行为被发现时，WAF 可以 立即采取行动，根据预设的安全策略阻止恶意请求，从而快速响应和快速阻止攻 击。 （3）API 网关 API 网关具有身份认证、访问控制、数据校验、限流熔断等功能，可以帮 云原生安全威胁分析与能力建设白皮书 SQL Structured Query Language 结构化查询语言 SSH Secure Shell 安全外壳 VLAN Virtual Local Area Network 虚拟局域网 WAF Web Application Firewalls 网站应用级入侵防御系统 XSS Cross Site Scripting 跨站脚本攻击 云原生安全威胁分析与能力建设白皮书 67 附 录

Running node-waf configure build will create a file build/default/hello.node which is our Addon. 运行 node-waf configure build，我们就创建了一个 Addon 实例 build/default/hello.node。 node-waf is just WAF, the python-based python-based build system. node-waf is provided for the ease of users. node-waf 就是 WAF,，一种基于 python 的编译系统，而 node-waf 更加易于使 用。 All Node addons must export a function called init with this signature: 另外，在

iisadmin"可停止服务器的IIS服务） 23 防护方法 n 代码级防护 q 验证输入 q 参数化SQL q 输出检查 q 使用存储过程 n 平台级别防护 q 在运行期间防护：使用WAF、URL重写等 q 配置数据库安全策略（权限配置、关闭默认账号、审计等） 24 3.2.跨站脚本攻击 25 概述 n Cross Site Scripting（简写为XSS） q 务攻击系统 等 109 DDoS攻击防护产品 WEB应用防火墙 n WEB应用防火墙(简称：WAF) ，工作在网络应用层， 对来自WEB应用程序客户端的各类请求进行内容检测 和验证，确保其安全性与合法性，对非法的请求将予 以实时阻断，从而对各类网站进行有效防护。 n WAF产品应该具备以下功能： q 针对各类WEB应用攻击的检测和防御能力，如SQL注入、跨站脚 本等，满足对检测、防御能力在广度和深度上的要求 WEB应用漏洞扫描能力，加强WEB应用自身的安全性 110 q 代表产品：昊天电子政务防护系统、绿盟WEB应用防火墙、梭 子鱼应用防火墙、 Imperva SecureGrid WEB 应用防火墙…… n 以昊天WAF产品为例： 111 WEB应用防火墙 WEB应用主机加固 n WEB应用主机加固工具主要实时截取和分析 软件的执行流或交互的协议流，实时发现和过 滤攻击。 n 代表性产品： q Real

'hello' obj.source = 'hello.cc' 执行 node-waf configure build 将会创建您的扩展文件至 build/default/hello.node。 node-waf 是 http://code.google.com/p/waf/[WAF]，基於 python 的编译系统。node-waf 为使用者提供轻易。 所有 Node 扩展必须输出一函数 init ，并包含此声明：

MOSN TLS，国密 服务鉴权 Mirror 访问请求 MOSN 多种服务注册中心 SOFA Registry Nacos Etcd ZooKeeper 多协议接入 TLS，国密 WAF，DDos2/10 MOSN 核心能力沉淀  精细化路由  安全防护  多协议  可运维  可扩展 • 多版本发布 • 压测引流 • 服务分组 • 加密链路 • 国密算法 • 服务鉴权 Dubbo、SpringCloud、 RocketMQ、gRPC、HTTP3、 MQTT、QUIC、TLS1.3 等 多协议 支持模块化 自适应限流 多协议深度扩展能力 多进程 WAF WebAssembly 兼容用户态协议栈 Lua 支持 核心和开放能力 适配 Istio，兼容 UDAP 协议 Zookeeper，Etcd Open Tracing, Jaeger

流量大户上云，顶住流量洪峰 机器器资源按需分配 接入层URL粒度流量调度 LB DNS app/browser Nginx-Proxy Nginx-Proxy 安全防护 自建IDC 云IDC WAF WAF https://order.lexin.com/create https://order.lexin.com/query 服务化框架的单元化路由 自建IDC 云IDC 全站服务 registry

支持蚂蚁LDC架构，三地五中心容灾架构 • 全面上线SSL加速卡，提供软硬件一体加速方案 2015 • All in 无线，通信通道全面升级（MMTP，MTLS协议） 2016 • 安全防护能力提升，WAF，流量镜像 2018至 今 • 通信协议，架构，安全再次升级（物联终端接入，QUIC协议，国密，可信计算， 海外加速，云原生）金融级三地五中心容灾架构（LDC） 单机房 LDC 同城双活 流量控制 TLS，国密 服务鉴权 流量控制蚂蚁金服率先大规模落地SOFAMesh UDPA 安全 统一数据 平面API 存量连接无损迁移 提升5倍发布效率 TLS双向加密 支持国密算法 WAF 流量镜像 多协议 SOFARPC Dubbo HTTP1.1/2 平滑升级 性能 单跳CPU增加5%消耗 0.2ms RT 蚂蚁金服100+应用，10w+容器已经mesh化，部分业务链路通过下沉，

等路由 基于 Service 路由 强依赖（Hmac\Oauth\JWT\Session 等) 弱依赖（RBAC） 强依赖（RateLimiter、Quota 等） 弱依赖 强依赖（IP 限制、WAF、CORS 等） 弱依赖 负载均衡 硬负载（LVS、Nginx） 软负载（服务发现）5/21 Sidecar Motorcycle (MOSN/Envoy) Service Mesh is Patterns

• 所有镜像自动生成 • 一键master镜像部署 1. 注册中心 2. Mysql Redis ES 3. 全链路微服务 4. 自动数据同步 • 一期多环境平台架构图 CDN / LB / WAF / NG K8S集群 namespace1 namespace… namespaceN service1 service2 service3 … … … … … service1