WAF对OWASP TOP10支持

OWASP官方文档

本文用尽量简单的说清楚常见OWASP攻击的内容以及WAF对其防护方法。

版本对比

OWASP TOP10版本对比

从图上可以看到明显的变化：

1、XEE单独做为一项，不再包含在注入中

2、敏感信息泄露提升到A3，更注重信息安全

3、新增不安全的反序列化

4、日志和监控被单独做为一项提出来

其他可参考附件文档

OWASP常见对应攻击

WAF对OWASP的支持

WAF默认支持OWASP描述的攻击

规则引擎

参考https://cloud.tencent.com/document/product/627/49032

规则引擎主要负责常见的漏洞以及攻击方法的防御

可通过规则引擎-规则设置功能配置默认规则

常见规则有：

• Webshell检测防护
• XSS攻击
• XML注入攻击
• 恶意扫描
• 不合规协议
• WEB应用漏洞攻击
• 文件上传攻击
• 开源组件漏洞攻击
• ldap注入攻击
• ……

补充功能

规则引擎只是拦截了OWASP中的被动防御，而OWASP中很多功能，比如日志和监控，比如安全配置，是需要用户主动配置的，这一部分需要有其他功能完成，包含

• 自定义策略
• 防信息泄露
• 网页防篡改
• 恶意文件检测
• 日志统计与访问监控

高级功能

OWASP是最基础的Web安全，WAF除了支持OWASP以外，还有其他很多高级功能，这些功能可以从更多维度对Wed服务做防护，同时也增强了OWASP的涉及攻击的防御能力，主要功能有

• AI引擎
• Bot行为管理