發布時間:2019-05-15 瀏覽次數:4854
主機安全“網站漏洞防護”功能通過漏洞防護(防SQL注入、XSS防護、漏洞攻擊防護)、Web服務器溢出攻擊防護、Web服務器文件名解析漏洞防護、禁止瀏覽畸形文件、僅允許下列請求、禁止下載特定類型文件、網頁瀏覽實時防護等功能防止黑客利用Web服務器或Web應用程序的漏洞入侵服務器。同時網站例外名單功能還可以對誤判而攔截的用戶請求進行放行,并且允許自定義攔截頁面提示信息,充分考慮到了用戶體驗和用戶需求。
通過“應用防護”中的Web防護(IIS、Apache、Nginx等)進入Web應用設置,打開“網站漏洞防護”功能。


該功能通過匹配SQL注入、XSS攻擊等攻擊類型特征庫對用戶輸入進行過濾,從而實現防止攻擊保護網站的目的。
我們主要通過SQL防注入的默認防護規則為例通過相應的攻擊實例來介紹該功能設置。
XSS防護和防漏洞攻擊設置與SQL防注入設置相同。
1) 開啟SQL防注入規則的“防止簡單的and or方式注入”的“檢測URL”

在瀏覽器的地址欄輸入SQL注入的命令 and 1=1進行注入,如下圖

輸入該條命令后,瀏覽器返回主機安全的攔截界面。每當有SQL注入時,主機安全都會返回該攔截提示界面及提示信息。

主機安全的防護日志下可以看到對應的日志。

2) 開啟SQL防注入規則的“防止簡單的and or方式注入”的“檢測Cookie”。

使用工具burp獲取Cookie,修改Cookie值后繼續訪問。

訪問后會返回與“檢測URL”一樣的攔截頁面。同時在防護日志會生成對應的攔截日志。
3) 開啟SQL防注入規則的“防止簡單的and or方式注入”的“檢測POST”。

在http協議中,搜索是Post方式提交請求;所以在搜索框中輸入注入語句“? and 1=1”并提交。

提交后部分網站會返回與“檢測URL”一樣的攔截頁面,部分網站會禁止提交請求,一直顯示提交中。同時在防護日志會生成對應的攔截日志。
4) 開啟SQL防注入規則的“防止簡單的and or方式注入”的“檢測UA”。

訪問網站時,在http請求的User-Agent中加入“and 1=1”進行訪問

訪問后網站會返回與“檢測URL”一樣的攔截頁面。同時在防護日志會生成對應的攔截日志。
5) 除了默認的規則,我們還設置了自定義添加規則的功能,方便用戶自己調整規則,充分加強了用戶的自由度。

提交自定義請求訪問頁面時,同SQL注入防護一樣,會返回攔截頁面及生成防護日志。


如果不需要實時防護,可以在“設置中心”開啟“監控模式”,此時所有對網站的攻擊行為只記錄不攔截。

當配置的注入規則較為復雜而影響網站正常使用時,可以通過“設置中心”恢復默認配置,以使網站可以正常使用。

“Web服務器溢出攻擊”通常指緩沖區溢出攻擊,黑客通常利用向程序輸入緩沖區寫入使之溢出的內容從而破壞程序運行并取得程序乃至系統的控制權。用戶可以通過開啟主機安全的“Web服務器溢出攻擊防護”功能抵御類似的攻擊,從而防止黑客獲取系統的控制權。
開啟“Web服務器溢出攻擊防護”功能。

在瀏覽器地址欄輸入超長URL,進行溢出攻擊。

同時,在云防護日志中可以看到對應日志。

黑客可以上傳類似wooyun.asp;.jpg、wooyun.php.owf.rar的可執行腳本文件,利用IIS和Apache的解析漏洞,使腳本文件執行從而獲取系統權限,威脅網站的安全。用戶可以通過開啟主機安全的“Web服務器文件名解析漏洞防護”功能防止黑客利用這些漏洞對服務器進行攻擊,對黑客類似攻擊行為進行攔截。
開啟“Web服務器文件名解析漏洞防護”功能。

在瀏覽器地址欄輸入含有wooyun.asp;.jpg的URL進行訪問。

同時,在主機安全防護日志中可以看到對應的日志。

黑客通過構造類似com1.php;jpg之類的畸形文件的后綴名上傳到服務器上再結合IIS的解析特性即可成功執行代碼,然后獲取必要的網站配置等信息威脅網站的安全。用戶可以通過開啟主機安全的“禁止瀏覽畸形文件”功能抵御類似的攻擊,保護網站服務器的安全。
開啟“禁止瀏覽畸形文件”功能。

在瀏覽器地址欄輸入含有com1.php;jpg的URL進行訪問。

同時,在主機安全安全防護日志中可以看到對應的攔日志。

網絡傳輸中主要通過HTTP協議進行傳輸。但是熟悉HTTP協議的黑客可以通過構造或偽裝一些請求進行攻擊,如使用PUT請求將危險代碼傳送到網站上,從而威脅到網站的數據。用戶可以通過開啟主機安全的“僅允許下列請求”功能,一些不需要的請求進行提交,來有效抵御類似的攻擊,保護網站服務器的安全。
開啟“僅允許下列請求”功能。

使用Fiddler Web Debugger工具發送不允許的OPTIONS請求

同時,在主機安全防護日志中可以看到對應的日志。

在互聯網中用戶的數據信息、軟件的運行日志等信息都是黑客可以利用的信息,一旦存放這些文件的路徑被獲取,會給用戶和網站帶來難以想象的麻煩。用戶可以通過開啟主機安全的“禁止下載特定類型文件”的功能,保護這類文件不被下載,進而保護用戶數據和運行日志的安全。
開啟“禁止下載特定類型文件”的功能。

通過瀏覽器下載.sql文件。

同時,在主機安全防護日志中可以看到對應的日志。

服務器經常會被黑客上傳網頁木馬,通過上傳的網頁木馬獲取和修改服務器上數據和文件,影響用戶的網站正常訪問,給用戶帶來損失。而“網頁瀏覽實時防護”主要是針對黑客利用其它途徑上傳了網頁木馬,通過瀏覽器訪問網頁木馬時進行攔截從而保護用戶的網站不被修改。
假設網站下已被上傳網頁木馬,未開啟“網頁瀏覽實時防護”訪問該網頁木馬。

開啟“網頁瀏覽實時防防護”功能并訪問網頁木馬。


同時,在主機安全防護日志中可以看到對應的攔截日志。

部分網站因為網站自身編碼問題導致在URL輸入一些特殊字符時,返回頁面的信息包含網站信息及數據庫信息。“HTTP響應內容保護”功能則可對該類頁面進行保護,避免網站及數據庫信息被曝出,導致信息泄露。
當訪問網站時,有時在網站訪問失敗時會顯示一些如網站路徑、web容器版本等信息,易被惡意用戶利用進行滲透。

開啟“HTTP響應內容保護”將502添加到列表中,再次對該頁面進行訪問。返回頁面會變為主機安全攔截頁面,并隱藏了Nginx的版本信息。


HTTP(HyperTextTransferProtocol)是超文本傳輸協議的縮寫,它用于傳送WWW方式的數據。HTTP消息包括客戶機向服務器的請求消息和服務器向客戶機的響應消息。這兩種類型的消息由一個起始行,一個或者多個頭域,一個只是頭域結束的空行和可選的消息體組成。HTTP的頭域包括通用頭,請求頭,響應頭和實體頭四個部分。每個頭域由一個域名,冒號(:)和域值三部分組成。域名是大小寫無關的,域值前可以添加任何數量的空格符,頭域可以被擴展為多行,在每行開始處,使用至少一個空格或制表符。
而請求頭域允許客戶端向服務器傳遞關于請求或者關于客戶機的附加信息。請求頭域可能包含下列字段Accept、Accept-Charset、Accept- Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If- Match、If-None-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、 Proxy-Authorization、Range、Referer、User-Agent。對請求頭域的擴展要求通訊雙方都支持,如果存在不支持的請求頭域,一般將會作為實體頭域處理。具體講解詳見百度百科:《Http請求頭》。
"HTTP請求頭防護"功能通過對HTTP請求頭中的字段進行自定義規則防護的方式保護網站,避免修改了HTTP請求頭對網站進行攻擊,或者惡意引導流量等。
打開“HTTP請求頭防護”功能。模擬網站被利用HTTP Host攻擊。用Modify Hearders修改HTTP Host為www.zblog.com進行訪問。


添加HTTP請求頭防護的規則,將無法利用Host為www.zblog.com對網站進行的攻擊攔截,使無法訪問網站。注意:最大長度和規則是并存關系,當設置長度時則優先判斷請求頭的長度,如不需要對長度判定則設置為0。


防護規則支持正則表達式。如有多個host可以用“|”隔開,其它請求頭配置規則方式相同。

同時可以在主機安全防護日志中看到攔截日志。

攻擊者通常先使用掃描工具或掃描器探測網站服務器是否有可被利用的漏洞,然后利用漏洞進行攻擊。
開啟“自動屏蔽掃描器”功能,當發現有這類行為時則直接阻斷攻擊者對網站服務器的掃描;同時會產生日志。


攻擊者通常會獲取網站Web Server的版本信息,利用對應版本的漏洞對網站進行惡意攻擊、滲透等。
主機安全的“隱藏WebServer版本信息”功能則通過自定義WebServer內容將其版本信息進行隱藏,使攻擊者無法通過Web Server的版本利用相應的漏洞進行攻擊。
開啟“隱藏WebServer版本信息”功能,并設置Web環境信息別名:test;設置后需要重啟WebServer。

設置后通過調試器可以看到自己的Web Server版本信息被改為設置的別名。

該功能主要是防護網站被惡意用戶構造異常的“X-Forwarded-For”字段進行訪問,從而對網站造成威脅。
開啟“X-Forwarded-For防護”功能,構造異常“X-Forwarded-For”對網站進行訪問。


當攻擊者構造異常的“X-Forwarded-For”字段訪問網站時,則會被攔截。


考慮到用戶使用漏洞防護的靈活性,主機安全還提供了“網站例外名單”功能,可以對不需要攔截的網站進行放行;除此還可設置報警提示和自定義攔截頁面提示,滿足用戶的各方面需求。
當用戶對網站進行管理或構造一些代碼對網站進行監控時,會被主機安全攔截導致這類行為無法進行;這就需要用戶將需要進行操作的網站或對應的文件設置為“網站例外名單”。點擊“設置”進入“設置中心”,在“網站漏洞防護”添加需要例外的網站或文件路徑。

除“網站例外名單”功能外,還可以“自定義攔截信息提示”,讓攔截頁面更加的人性化。
