作者：京东云 刘一鑫

1 背景

随着网络攻击事件整体呈上升趋势，应用作为网络入口承载着大量业务和流量，因此成为了安全的重灾区。黑客往往借助自动化的工具以及安全漏洞，对Web进行漏洞扫描和探测，进而利用漏洞攻击，达到窃取Web应用的敏感数据或者入侵服务器的目的，这大大加剧了应用面临的安全风险。以前一段时间出现的log4j2漏洞为例、这是近十年来最严重的漏洞，由于使用广泛和漏洞利用简单，影响70%以上的企业线上业务系统，官方发布漏洞修复补丁后依旧被多次绕过，几乎所有互联网公司都在通宵加急处理漏洞、修复更新，避免造成黑客攻击事件。除此之外，还有像fastjson、Xstream等相关漏洞，此类漏洞还是会长期与应用共存。

2 传统应用安全防护方案

2.1 WAF

传统应用安全的解决方案，大部分安全从业者都会想到WAF（Web Application Firewall, 应用程序防火墙），WAF是一种专门用于分析HTTP/HTTPS流量的专用防火墙，可以深入到每一次HTTP/HTTPS请求和详情中去检查是否包含敏感字段，然后放行正常行为，拦截恶意行为，就像自来水过滤器一样，把“杂质”从庞大的流量中剔除出去，这样应用程序就只会响应正常的请求，从而达到保护应用程序的目的。