本书主要包括基础**设施建设、**自动化系统建设、业务**体系建设３个部分。*部分介绍当进入一个**建设空白或基本为零的企业时，如何着手规划并一步步建成较为完善的**体系；第二部分主要介绍**自动化，帮助大家掌握开源的二次开发思路，设计适合企业自身特点的**系统；第三部分介绍业务**体系建设，包括互联网黑产攻击手法、风控系统建设方案和业务**风险防控体系建设实践。

3.2 Web 应用防火墙
企业主要通过网站、App或微信生态（公众号、小程序等）给用户或客户提供服务，这些都是Web应用。
Web应用开放在互联网上，会面临各种黑客发起的攻击和探测。要应对这些威胁，除保障应用系统自身的**性外，还要能有效防范Web攻击，其**基础为Web应用防火墙（Web Application Firewall，WAF），本节介绍WAF的基本功能和应用实践。
3.2.1 Web 应用**威胁
Web应用非常容易遭受攻击，主要有以下几个方面的原因。
Web应用系统是对外开放的，正常用户和黑客均可以访问。
开发人员重视功能和性能实现，忽略了系统**性设计。
虽然知道Web应用系统存在**漏洞，但由于各种原因，应用系统改造难度大，暂时无法修复。
大量的中间件或组件存在高危漏洞，利用难度低，危害巨大。
比较典型的Web应用**风险为OWASP TOP 10，即开放式Web应用**项目（OWASP）定 期发布的 10 个Web应用**威胁，本书编写时，*新版本为 2017 版，10 个**风险如下。
A1. Injection（注入攻击漏洞）
如SQL、NoSQL、OS及LDAP注入，攻击者发送恶意攻击数据或脚本给解析器时，不可信的
数据被当成命令成功欺骗解释器，使得其可以执行计划外的命令或在未被恰当授权时访问数据。
典型的攻击案例是SQL注入攻击。
A2. Broken Authentication（失效的认证）
与身份认证和会话管理相关的应用程序功能得不到正确的实现，导致攻击者通过破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份（暂时或**）。
典型攻击案例是用户Cookie或访问令牌被盗取或劫持，冒充用户身份成功访问网站或应用。
A3. Sensitive Data Exposure（敏感信息泄露）
许多Web应用程序和API没有正确保护敏感数据，如身份证号码、手机号等信息，攻击者可以窃取或修改未加密的敏感数据。因此，需要对敏感数据加密，这些需要加密的敏感数据包括传输过程中的数据和存储在数据器中的交互数据。
典型的案例是用户的密码没有使用加盐的哈希算法保护，导致黑客通过彩虹表碰撞出真实的
密码。
A4. XXE XML External Entities (XXE，XML 外部处理漏洞 )
XXE是XML外部实体注入，当允许引用外部实体时，攻击者可以利用外部实体窃取使用URI
文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码、实施拒绝服务攻击。
典型的案例是通过该漏洞执行系统命令，如利用“fifile:///etc/passwd”获取密码文件。
A5. Broken Access Control（失效的访问控制）
对未通过身份验证的用户实施恰当的访问控制，攻击者可以利用这些缺陷访问未经授权的功能或数据。例如，访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。
典型案例是未授权访问漏洞、越权访问漏洞。
A6. Security Misconfiguration（**配置错误）
**配置错误是*常见的**问题，这通常是不**的默认配置、不完整的临时配置和开源
云、错误的 HTTP 报头配置及包含敏感信息的详细错误信息造成的。因此，**人员不仅需要对所有操作系统、框架、库和应用程序进行**配置，而且必须及时对其进修补和升级。
典型案例是未关闭调试或测试信息，导致攻击者可以通过报错信息获取服务器或组件的版本信息，利用版本漏洞发起攻击，如Nginx、Tomcat等。
A7. Cross-Site Scripting（XSS，跨站脚本攻击）
当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建
HTML或JavaScript 的浏览器 API 更新现有的网页时，就会出现XSS漏洞。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。
典型案例是攻击者利用XSS漏洞获取用户Cookie信息并发送到攻击者服务器上。
A8. Insecure Deserialization（不**的反序列化）
不**的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来进行攻击，包括重播攻击、注入攻击和特权升级攻击。
典型的案例是攻击者利用Weblogic反序列化漏洞进行远程系统命令执行，控制用户服务器。
A9. Using Components with Known Vulnerabilities（使用含有已知漏洞的组件）
组件（如库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器被接管。同时，使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御系统、造成各种攻击并产生严重危害。
典型的案例是使用含有漏洞的Struts 2 框架，可能被执行远程命令控制服务器。
A10. Insufficient Logging&Monitoring（日志记录和监控不足）
日志记录和监控不足，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性攻击或转向攻击更多系统，以及篡改、提取或销毁数据。
典型案例是未记录登录尝试失败记录，没有进行暴力破解防护导致系统被入侵后未及时发现。

第1章 从零开始建设企业信息**体系 1.1 企业面临的**风险2 1.2 企业**建设需求 4 1.3 企业**岗位简介 6 1.4 企业**工作开展思路9 1.4.1 **风险评估9 1.4.2 **工作机制建立 12 1.4.3 **工作规划13 1.5 本章小结 14 第2章 基础办公**体系建设 15 2.1 终端基础** 16 2.2 防火墙、VPN和上网行为管理 26 2.3 入侵检测/防御系统 32 2.4 邮件**36 2.5 统一账号认证系统 42 2.6 本章小结 46 第3章 IDC基础**体系建设47 3.1 **域划分和访问控制策略 48 3.2 Web应用防火墙 55 3.3 DDOS攻击防护 62 3.4 运维堡垒机66 3.5 **基线管理 72 3.6 本章小结 78 第4 章 产品** 79 4.1 SDL流程建立和实施 80 4.2 产品**设计和评审 87 4.3 产品**测试 96 4.4 **漏洞管理和应急响应 104 4.5 App**和加固 112 4.6 本章小结 117 第 5 章 数据** 118 5.1 数据**风险和生命周期保护 119 5.2 数据传输** 121 5.3 数据存储** 127 5.4 数据使用** 134 5.5 数据交换** 139 5.6 本章小结 140 第 6 章 **管理 141 第 7 章 自动化漏洞扫描系统 158 第 8 章 **风险感知和管理系统 213 第 9 章 运维**管理和审计系统 264 第 10 章 业务**风险 280 第 11 章 互联网**风控系统介绍302 第 12 章 业务**风控运营实践. 337 后记 关于**落地的一点思考 348