产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【WG】某客户端首次可以访问WG保护的WEB服务器,再次访问时无法打开,隔一段时间访问又可以正常打开

发布时间:2013-10-13
点击量:2377

1)查看对应的攻击日志:

2011-01-19 09:00:46 210.2.8.1 210.2.8.3 POST http 210.2.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log

2)从攻击日志可见,客户开启了动态攻击黑名单,但IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征,并且动作包含“block”时自动将该IP添加到动态攻击黑名单。

3)与用户沟通后得知信息:由于该网站应用程序需要使用SQL语句来传递相关信息;所以可以确认该访问网站的该行为是合法的

解决方案:

解决方案一:

将URL:210.2.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx  添加为URL白名单;

该方案保证了该网站的其它URL的安全防护,但该URL的安全性降低;

解决方案二:

1)新建URL安全策略,该安全策略的基本特征库动作为仅日志或不启用;

2)高级可选操作:启用自定义SQL注入关键字过滤,并配置update,insert, drop,rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词(其它默认关键词不要启用);

3)在相应的服务器安全组里,配置URL安全策略的“例外规则”,在例外规则中,指定对于以下URL路径启用上面新建的URL安全策略:210.2.x.x/emlib4/system/DataSource

该方案保证了网站所有的URL的安全防护,但如启用SQL自定义关键字,需和用户做好沟通,避免网站可能所用的SQL关键字出现在阻止列表中。

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式