通過(guò)Imperva的眾包威脅情報(bào)系統(tǒng)——社區(qū)防御（Community Defense）對(duì)近期的應(yīng)用攻擊速率進(jìn)行了簡(jiǎn)要分析。從今年5月8日至今，全球共發(fā)生了近32萬(wàn)（319915）起SQL注入攻擊事件。為了更好地理解這個(gè)數(shù)字之下的意義，我們將通過(guò)下圖來(lái)說(shuō)明網(wǎng)絡(luò)應(yīng)用流量的基本構(gòu)成，無(wú)論它們是基于云端還是本地。

當(dāng)用戶(hù)從網(wǎng)站請(qǐng)求網(wǎng)頁(yè)或數(shù)據(jù)時(shí)，流量路徑中的一些通用組件可對(duì)流量進(jìn)行解碼和檢驗(yàn)，并針對(duì)網(wǎng)絡(luò)應(yīng)用及其數(shù)據(jù)做出安全決策，保護(hù)其免遭黑客攻擊。

上圖是流量導(dǎo)入網(wǎng)絡(luò)應(yīng)用的過(guò)程，我們?cè)賮?lái)看看攻擊的順序：從NGFW，到IPS，再到WAF（有時(shí)還有緩沖隔層）。當(dāng)攻擊者使用SQL注入查詢(xún)數(shù)據(jù)時(shí)，表面看起來(lái)跟一般的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區(qū)別，所以前兩層防火墻并不會(huì)對(duì)它發(fā)出警報(bào)。這意味著，SQL注入會(huì)一路暢通，只有到達(dá)WAF防護(hù)層時(shí)，才會(huì)被視作惡意攻擊，因?yàn)镹GFWs和IPSs并不是為網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫(kù)所設(shè)。

所以，只有WAF才能阻止SQL注入攻擊，人們以為NGFWs和IPSs就可以防護(hù)網(wǎng)絡(luò)應(yīng)用攻擊純粹是一個(gè)誤解。