幾周前，我們通過Imperva的眾包威脅情報(bào)系統(tǒng)——社區(qū)防御(Community Defense)對近期的應(yīng)用攻擊速率進(jìn)行了簡要分析。從今年5月8日至今，全球共發(fā)生了近32萬(319915)起SQL注入攻擊事件。為了更好地理解這個(gè)數(shù)字之下的意義，我們將通過下圖來說明網(wǎng)絡(luò)應(yīng)用流量的基本構(gòu)成，無論它們是基于云端還是本地。

當(dāng)用戶從網(wǎng)站請求網(wǎng)頁或數(shù)據(jù)時(shí)，流量路徑中的一些通用組件可以對流量進(jìn)行解碼和檢驗(yàn)，并針對網(wǎng)絡(luò)應(yīng)用及其數(shù)據(jù)做出安全決策，保護(hù)其免遭黑客攻擊。

上圖是流量導(dǎo)入網(wǎng)絡(luò)應(yīng)用的過程，我們再來看看攻擊的順序：從NGFW，到IPS，再到WAF(有時(shí)還有緩沖隔層)。當(dāng)攻擊者使用SQL注入查詢數(shù)據(jù)時(shí)，表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以前兩層防火墻并不會對它發(fā)出警報(bào)。這意味著，SQL注入會一路暢通，只有到達(dá)WAF防護(hù)層時(shí)，才會被視作惡意攻擊，因?yàn)镹GFWs和IPSs并不是為網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫所設(shè)。所以，只有WAF才能阻止SQL注入攻擊，人們以為NGFWs和IPSs就可以防護(hù)網(wǎng)絡(luò)應(yīng)用攻擊純粹是一個(gè)誤解。