WAF

#WAF#

已有2人关注此标签

内容分类

枫凡

k8s ingress获取真实IP地址配置

背景 业务架构:Client->WAF->LB->ECS->容器问题:在容器中获取不到真实的客户端公网IP 抓包分析 在ECS上的抓包分析,看到WAF已经将 真实客户端地址放到了 x-Forwarded-For 的字段中传给了ECS ![image](https://yqfile.

枫凡

安全篇 Web网站类 CC防护

大家好,云吞铺子又和大家见面了;我叫枫凡,是技术服务中心的工程师;借这个机会主要和大家分享一下,Web网站应用在受到CC攻击的情况分析以及防护的一些心得。 一键防护 当网站受到CC攻击时,第一优先级为想办法恢复业务;可以尝试直接在Web应用防火墙开启CC安全防护 攻击紧急,需要注意的是,攻击紧急模式适用于网页/H5页面,但不适用于API/Native App业务(会造成大量误杀),针对后面这个情况,我们建议使用CC自定义防护;根据攻击者所攻击的特征配置防护规则。

云安全专家

蠕虫利用新公开的Confluence RCE漏洞进行大规模攻击,用户应尽快修复

4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。

云安全专家

预警| Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务

2019年4月4日,阿里云安全应急响应中心监测到Confluence 官方发布安全更新指出,Widget Connector 存在服务端模板注入漏洞,攻击者能利用此漏洞实现目录穿越遍历甚至远程命令执行。

云安全专家

漫说安全|WAF开放规则定义权:专家策略+用户自定义策略=Web安全

在今天的这期栏目里,我们依然通过漫画这种通俗易懂的方式,与大家分享阿里云WAF的另一大特点—开放。开放的云WAF到底有什么好处,答案就在漫画里^_^

成喆

重磅发布: 阿里云WAF日志实时分析上线 (含视频)

阿里云WAF与日志服务打通,对外开发Web访问与攻击日志。提供近实时的网站具体的日志自动采集存储、并提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。

成喆

体验升级:阿里云WAF日志 - 运营中心:拓扑图、过滤与交互等

阿里云WAF的日志分析的运营中心报表再升级,以拓扑图的形式展示关键指标,支持交互与过滤、更好的大盘投屏方式

迦境0125

CTO职场解惑指南系列(二)春节篇

很多理财、电商平台要在春节要搞大促,担心黑客冒充用户去抢样品抢补贴,占用大量CPU服务器资源,导致真的用户进不去网站买不了,白白将真金白银给到了黄牛。短期好看的数据背后,自己的产品并没有卖给真正的用户,业务不好是谁的错?CTO还是运营负责人? 或者用户在网站购物时,黑客在页面注入病毒,把不是消费者想买的东西加入购物车,趁其不注意一起下单,帮商家刷单;又或者用户的个人信息被盗,消费者投诉体验差,媒体爆负面,CEO出面道歉,CMO狂处理公关危机,售后忙着进行赔付,这是CTO失责,还是黑客防不胜防? 最可怕的是网站漏洞被黑客入侵,企业丢失数据。

云安全专家

漫说安全|智能的云WAF,开挂的Web防御

“漫说安全”是我们推出的一个新栏目,以简洁明了的形式展现高深晦涩的云安全。 今天我们要讲的是智能的云WAF到底有啥“本领”,答案就在漫画里^_^ 漫画看完后估计你还会有些小疑问,不要着急,安全君特意准备了问答环节哦。

sun_shell

Nginx配合modsecurity实现企业级WAF应用防火墙功能

      ModSecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器     对于配置以及基础教程在下面这本书中都已经提到了有感兴趣的可以联系我 目前这.

云安全专家

新一代云WAF:防御能力智能化,用户享有规则“自主权”

近日,在国际权威分析机构Frost & Sullivan发布的《2017年亚太区Web应用防火墙市场报告》中,阿里云以市场占有率45.8%的绝对优势连续两年领跑大中华区云WAF市场,不仅如此,在Gartner发布的亚太区2018年度Web应用防火墙魔力象限报告中,阿里云Web应用防火墙(简称“WAF”)成功入围,且是国内唯一一家进入该魔力象限的云WAF提供商。

叶康铭

阿里云计算服务实践

用户访问网站时经过DNS(云解析)去获取到DDOS(高防IP)进行恶意流量判断清洗后由CDN(内容分发网络)节点IP后进行资源请求,如不存在缓存需源站响应请求的流量经过WAF(应用防火墙)进行恶意流量过滤后响应给SLB(负载均衡),SLB会调度后端的ECS(云服务器)应用请求,在业务高峰时ESS(弹性伸缩)会创建ECS实例,对于产生数据计算会从RDS(云数据库)进行查询等操作、如在缓存中已有则优先从缓存层OCS(缓存服务)中提取,如无则调度到持久化层;对于共享文件存储的使用OSS(对象存储服务)进行多ECS间的存储共享,因对于各服务存强依赖或流量过大时用MQ(消息队列)进行消峰或者解耦。

杰克.陈

DDoS攻击、CC攻击的攻击方式和防御方法

原文:DDoS攻击、CC攻击的攻击方式和防御方法 DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。

杰克.陈

【WPF/WAF】使用System.Windows.Interactivity交互事件

原文:【WPF/WAF】使用System.Windows.Interactivity交互事件 下载System.Windows.Interactivity.dll文件,并引入项目中(在VS项目的引用列表中可以看到)。

张医博

对象存储 OSS 上传、下载发生 "便秘"

对象存储 OSS 上传、下载发生 "便秘" 再复杂的网络架构和环境中经常遇到各种各样的网络超时问题,OSS 作为很多企业用户的源站经常会遇到下 GET 、PUT 慢的情况,问题就像便秘一样纠缠,作为存储,很多客户端把矛头指向了 OSS ,鉴于情况众多,我们今天具体分析一下都有哪些种便秘堵塞了你的生活。 确认基础信息 ping 工具,目的测试到对端的 IP 链路是否有丢包,RTT(Roun