欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

【转】WAF度量标准

作者:易隐者 发布于:2014-1-5 22:17 Sunday 分类:网络安全

【说在之前】:

WAF(web application firewall)现在基本上逐步成为网站安全的必备装备,不论是开源的还是商业的、国内还是国外的,都有不少的品牌产品,这给用户带来了选择困难症,正好这几天在网上看到一个关于WAF度量标准的文章,感觉蛮有意思,特转发至此,以供有兴趣的同学参考!

【原文链接】:

http://blog.csdn.net/cnbird2008/article/details/17278791

【原文全文】:

1. 有多少真实的攻击被阻断(TP)

2. 有多少有效的请求允许通过(TN)

3. 有多少有效的流量被不恰当的阻断(FP)

4. 有多少攻击被允许通过(FN)

 

度量算法:

tp/tp+fp(实际攻击阻断的请求百分比,误报率的反面正确率)

tp/tp+fn(实际阻断攻击的百分比,漏报率的反面正确率)

tp+tn/tp+tn+fp+fn(选择是正确百分比)

(WAF的选择和请求实际性之间的关联性)

 

案例

阅读全文>>

标签: WAF web application firewall 度量标准 web应用防火墙

评论(0) 引用(0) 浏览(46560)

策略误报导致应用保存失败的分析案例

作者:易隐者 发布于:2013-4-20 14:13 Saturday 分类:案例讨论

       某用户应用,需要将一些修改信息提交保存至业务服务器,在这个保存过程中出现无法保存的现象(保存失败,点击保存按钮后,IE页面进度条长时间处于加载状态),我出于帮忙,到用户现场捕获了业务保存时的交互报文,如下图所示:
点击查看原图

       查看这个交互的过程,我们可以非常清晰的看到,客户端与服务器TCP三次握手正常,问题出在客户端提交POST请求的报文被中间设备丢弃了。比较有趣的是,客户端在尝试两次重传之后,较为聪明的将这个POST请求字段(长度为859B)拆分为两个长度分别为536B和323B的字段,并先将长度为536B的应用字段重传给服务器,我们清楚的看到服务器对这个应用字段作出了确认,这说明这个长度的应用字段正常到达了应用服务器,但是后续长度为323B的应用字段一直被丢弃,这很容易想到是中间设备策略误报一直丢弃某些固定报文导致的,我们来看一下这个应用字段里到底封装的是什么应用数据,我们首先看这个报文的应用字段解码如下:

点击查看原图

       这个看得有点头晕,我们将这段字符解码一下,如下图所示:
点击查看原图
       解码之后,我们可以看到这个应用字段中存在“varchar(60)”等关键字,这可能引起WAF、IPS等设备将此报文误报为SQL注入的尝试。      

阅读全文>>

标签: 应用故障 IPS 策略误报 POST WAF SQL注入

评论(7) 引用(0) 浏览(5431)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1