Oracle电子商务套件 12.2移动和Web服务安全需要Web应用程序防火墙(WAF)
这是博客系列中的第八篇,总结了新的Oracle电子商务套件 12.2移动和Web服务功能以及保护它们的建议。
Web应用程序防火墙(WAF)不能替换URL防火墙,URL防火墙也不能替换WAF。 URL防火墙提供的关键功能是仅允许Oracle加固并已被客户端标记为正在使用的那些表单和Web服务–所有其他请求均被默认拒绝规则阻止。 URL防火墙无法防御以下常见的Web攻击技术– WAF可以防止以下攻击:
- 拒绝服务(DoS)
- 泛洪,递归& oversized payloads
- 注射& Malicious Code
- XXC,SQLi,逻辑炸弹,格式错误的内容
- 机密性和完整性
- 参数篡改,架构中毒
- 侦察攻击
- 扫描和注册表公开
- 特权升级攻击
- 竞争条件,格式字符串,缓冲区溢出
为了保护面向Internet的Oracle电子商务套件 Web服务的安全,需要额外的保护。当然可以部署第三方WAF,但是Oracle Corporation的API网关为Oracle电子商务套件客户提供了引人注目的优势。 API网关是一个单独的许可证选项,位于SOA服务器(也是一个单独的许可证选项)的前面,可以防御上述特定于Web服务的常见Web攻击技术。
如有任何疑问,请通过以下方式与我们联系 [email protected]
-Michael Miller,CISSP-ISSMP,CCSP,CCSK
参考文献
- Oracle电子商务套件移动和Web服务安全性 -完整性白皮书
- Oracle电子商务套件移动和Web服务安全性 - 整合网络inar
- DMZ中的Oracle电子商务套件版本12.2配置 (Note 1375670.1)