高危漏洞：一個請求就能讓業務癱瘓！華為云WAF提供防護

日前，華為云安全團隊檢測到應用較廣的開源組件Fastjson的多個版本出現拒絕服務漏洞。利用該漏洞，攻擊者可構造惡意請求發給使用了Fastjson的服務器，使其內存和CPU耗盡，最終崩潰，造成業務癱瘓。目前，華為云Web應用防火墻（WAF）提供了對漏洞的防護。

影響范圍

Fastjson 1.2.60以下版本，不包括1.2.60本身。

防護方法

華為云WAF支持對該漏洞的檢測和防護，步驟如下：

1、開通WAF；

2、將網站域名添加到WAF中并完成域名接入，詳細的操作請參見添加防護域名；

3、將Web基礎防護的狀態設置為“攔截”模式，具體方法請參見配置Web基礎防護規則；

信息安全攻擊75%都發生在Web應用層上，為幫助用戶防御應用層Web攻擊，華為云WAF于2018年正式推出，對網站流量進行多維度檢測，發現和攔截諸如SQL注入等常見攻擊，結合AI技術智能識別惡意請求，識別和防御未知威脅。目前，WAF平均每天攔截5000萬次攻擊，累計保障了數十次重大活動，包括華為VMALL商城的P30等手機的數次搶購活動，已成為用戶必需的關鍵安全服務。

修復建議

建議用戶對自身業務所使用的組件進行排查，一旦發現使用了低于1.2.60的版本，即升級到修復后的新版本或1.2.60版本，升級前注意先備份，防止升級失敗配置丟失。修復版本下載地址見官方通告。

選擇華為云，就選擇了安全可靠

每次爆發嚴重漏洞，華為云都會第一時間站在您身邊，提供最新的防護手段。您在使用華為云的過程中，遇到任何安全問題，都可隨時聯系我們獲取幫助。