计算机工程与应用 ›› 2011, Vol. 47 ›› Issue (25): 104-106.
李 莉1,翟征德2
1.安徽大学 计算机教学部,合肥 230001
2.中国科学院 软件所,信息安全国家重点实验室,北京 100190
LI Li1,ZHAI Zhengde2
摘要: 传统的Web应用防火墙(WAF)只能基于攻击特征对HTTP流量进行规则匹配,而无法检测对HTTP状态数据的窃取和篡改。提出WAF主动安全防御的思想,使得WAF可以深度介入到客户端与服务器的会话过程中采取主动性的安全机制来加固HTTP交互过程,给出了对抗会话劫持、HTTP隐藏按钮篡改、Cookie篡改攻击的安全加固算法,提高了WAF对于Web攻击的防护能力,增强了Web应用的整体安全性。