检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Web漏洞防护最佳实践 Java Spring框架远程代码执行高危漏洞 Apache Dubbo反序列化漏洞 开源组件Fastjson拒绝服务漏洞 开源组件Fastjson远程代码执行漏洞 Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)
在DDos高防控制台、WAF控制台上传HTTPS证书后,收到证书和密钥不匹配的提示。 解决方案 可能的原因 修复建议 您上传的证书与私钥内容不匹配 执行以下命令,分别查看证书和私钥文件的MD5值: openssl x509 -noout -modulus -in <证书文件>|openssl
"User-Agent: Test" 检查业务是否正常,如果业务正常,请执行3;如果业务异常,请参照域名/IP接入状态显示“未接入”,如何处理?和如何排查404/502/504错误排查故障后,再执行3。 执行curl命令的主机需要满足以下条件: 网络通信正常。 已安装curl命令
Web漏洞防护 Java Spring框架远程代码执行高危漏洞 Apache Dubbo反序列化漏洞 开源组件Fastjson拒绝服务漏洞 开源组件Fastjson远程代码执行漏洞 Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)
响应动作: pass:命中规则后无条件放行当前请求。 block:命中规则后拦截当前请求。 captcha:命中规则后执行人机验证动作。 redirect:命中规则后通知客户端执行重定向动作。 log:命中规则后仅记录攻击信息。 mask:命中规则后对相关敏感信息进行脱敏处理。 父主题: 配置防护策略
-inform der -in cert.cer -out cert.pem 执行openssl命令前,请确保本地已安装openssl。 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。
仅记录:发现攻击行为后只记录不阻断攻击。 拦截:发现攻击行为后立即阻断并记录。 JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。
关闭网页防篡改防护服务前,请对主机执行全面的检测,处理已知风险并记录操作信息,避免运维失误,使您的主机遭受攻击。 关闭网页防篡改防护服务后,网页应用被篡改的可能性将大大提高,请及时清理主机中的重要数据、关停主机中的重要业务并断开主机与外部网络的连接,避免因主机遭受攻击而承担不必要的损失。 执行关闭网页防
cookie执行了原样转发,导致保留了WAF原有的计数器。 解决办法: 修改反向代理请求中的header字段,具体操作如下: 用户的流量链路上,在WAF后如果有NGINX,才可用此方法。 通过使用“proxy_set_header”来重定义发往代理服务器的请求头,执行以下命令打开nginx配置文件。
Web应用防火墙可以配置会话Cookie吗? WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理? WAF是否可以防护Apache Struts2远程代码执行漏洞(CVE-2021-31805)? 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口? 多Project下使用Web应用防火墙的限制条件?
命中规则 处理方式 WAF内置防护规则 Web基础防护规则 防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击,以及Webshell检测、深度反逃逸检测等Web基础防护。 网站反爬虫的“特征反爬虫”规则
搜索引擎执行页面内容爬取任务,如Googlebot、Baiduspider。 开启后,WAF将检测并阻断搜索引擎爬虫。 说明: 如果不开启“搜索引擎”,WAF针对谷歌和百度爬虫不会拦截,如果您希望拦截百度爬虫的POST请求,可参照配置示例-搜索引擎进行配置。 扫描器 执行漏洞扫描
流量标识。如果未取到,执行2。 如果想以TCP连接IP作为客户端IP,“IP标记”应配置为“remote_addr”。 取config中配置的源IP头列表“cdn-src-ip”字段对应的值,未取到,执行3。 取“x-real-ip”字段的值,未取到,执行4。 取“x-forwa
针对您的需求,推荐您在完成网站接入后,为网站设置以下防护功能: Web基础防护:帮助您防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击,并支持深度反逃逸识别、对请求里header中所有字段进行攻击检测、Shiro解密检测、Webshell检测。
-inform der -in cert.cer -out cert.pem 执行openssl命令前,请确保本地已安装openssl。 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。 单击“确认”,证书创建成功。 生效条件 成功创建的证书将显示在证书列表中。
“所属负载均衡器”:选择“关联已有”,并在下拉框中选择1中创建的负载均衡器。 后端服务器配置为5中需要添加到WAF中的网站对应的服务器地址。 执行以下命令,测试业务联通性是否正常。 curl -kv -H "Host: {源站域名}" {监听器对应的协议}://{ELB的IP}:{监听器端口}
-inform der -in cert.cer -out cert.pem 执行openssl命令前,请确保本地已安装openssl。 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命令。 “更新方式”选择“选择已有证书”时,在“证书”下拉框中选择已有的证书。
在“CNAME”信息行,单击,复制“CNAME”值。 图3 复制CNAME 获取WAF的接入IP。 云模式 在Windows操作系统的命令行窗口,执行以下命令,获取WAF的接入IP。 ping CNAME值 在界面回显信息中获取WAF接入IP,如图4所示。 图4 ping cname 独享模式
在确保独享引擎工作正常的情况下,如果转发失败,则优先检查ELB配置是否有误(如果ELB健康检查异常可先关闭ELB健康检查再重新执行以上的操作)。 攻击拦截测试 确保网站对应策略已开启基础防护的拦截模式。 执行以下命令: curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}:
义策略的Effect设置为“Deny”,然后同时将“WAF FullAccess”和拒绝策略授予用户,根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示:拒绝用户删除网页防篡改规则。 { "Version": "1.1",
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
