WAF

WAF原理入门:http://www.freebuf.com/articles/web/18084.html

WAF类型包括硬件WAF、云WAF、基于主机Agent WAF、开源WAF、反向代理集群WAF。

硬件WAF行业老大是imperva,优点是动态特征创建,缺点是???

硬件WAF国内是绿盟,原理是基于规则库,但逐步淘汰???

云WAF有阿里云盾,维护方便???

开源WAF是modsecurity,???http://www.freebuf.com/articles/web/63076.html

反向代理集群WAF???http://www.freebuf.com/video/127713.html

绕过WAF:http://www.freebuf.com/articles/web/8773.html

http://www.freebuf.com/articles/web/5908.html

http://www.freebuf.com/sectool/5263.html

http://www.freebuf.com/articles/1000.html

http://www.freebuf.com/articles/web/81959.html

http://www.freebuf.com/sectool/69988.html

http://www.freebuf.com/articles/web/36683.html

http://www.freebuf.com/articles/web/20282.html

http://www.freebuf.com/articles/web/10099.html

http://www.freebuf.com/sectool/127001.html

http://www.freebuf.com/sectool/106747.html

时间: 2024-12-11 10:20:11

WAF的相关文章

WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等

核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Webshell上传.命令注入.非法HTTP协议请求.非授权文件访问等.

Web安全--XSS现代WAF规则探测及绕过技术

XSS现代WAF规则探测及绕过技术初始测试 1.使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等: 2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应: 3.尝试以下的payload 1 <script>alert(1);</script> 2 <script>prompt(1);<

黑客是怎样绕过WAF讲解

什么是WAFWeb Application Firewall通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击.目前主要有单设备WAF与云WAFWAF的现状1.太多数WAF能够拦截较为普通的WEB攻击2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力3.基本所有的WAF都存在策略性绕过4.由于waf的业务限制等各种原因导致存在通用绕过 WAF逻辑漏洞及白名单阶段的绕过1.搜索引擎白名单(判断引擎方式不严)2.IP段白名单绕过3.目录白名单绕过4.绕过代理直接请求源站(

001_软件waf

一.优秀的软件waf开源软件 <1>openwaf介绍  http://www.oschina.net/p/openwaf http://git.oschina.net/miracleqi/OpenWAF(http://git.oschina.net/miracleqi) <2>OpenStar介绍 http://www.oschina.net/p/OpenStar https://github.com/starjun/openstar

小白日记13:kali渗透测试之服务扫描(三)-SMTB扫描、防火墙识别、负载均衡识别、WAF识别

SMTP扫描 SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式.SMTP协议属于TCP/IP协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地.通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了,整个过程只要几分钟.SMTP服务器则是遵循SMTP协议的发送邮件服务器,用来发送或中转发出的电子邮件. SMB扫描针对机器去发现其漏洞,SMTP扫描为主动发现目

sql注入之tamper绕过WAF防火墙

### 现象: 当我们注入的时候,发现有狗,有waf,真的是我的小心脏都碎掉了!!但是呢,很多时候还是得静下来分析过滤系统到底过滤了哪些参数,该如何绕过.利用sqlmap中的tamper给我们带来了很多防过滤的脚本绕过. 提示“输入内容存在危险字符,已经被拦截” 提示“请不要尝试在参数中包含非法字符尝试注入” ### 判断我们使用那种脚本 1,id=1空格      测试空格     2,id=1%201=1     测试等号     3,id=1%201=1 select 测试select  

ModSecurity web application firewall (WAF) Research

catalog 0. 引言 1. OWASP ModSecurity Core Rule Set (CRS) Project 2. Installation mod_security for Apache 3. Installation mod_security for nginx 4. Installation mod_security for IIS 5. mod_security Configuration Directives 6. Processing Phases 7. Variab

Bypass WAF Cookbook

PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文.也希望整理的内容能给甲方工作者或则白帽子带来一些收获. 0x00 概述 随着网络安全越来越受到重视,发展越来越快.随之也出现了越来越多的安全防护的软件.例如有: 1.云waf:[阿里云盾,百度云加速,360网站卫士,加速乐等] 2.传统安全厂商的硬件waf以及一直存在的ips,ids设备:[绿盟,启明,深信服,安恒等] 3.主机防护软件如安全狗,云锁: 4.软waf

TSRC挑战赛:WAF之SQL注入绕过挑战实录

转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r.花开若相惜 来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,而且自己平时接触WAF的机会也比较多,对于WAF绕过的方法还是有一定积累的. 比赛规则就是绕过四台被tencent WAF保护的测试服务器(分别为:apache GET.apache P

黑客是如何绕过WAF的

1.什么是WAF Web Application Firewall 通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击. 目前主要有单设备WAF与云WAF 2.WAF的现状 1.太多数WAF能够拦截较为普通的WEB攻击  2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力 3.基本所有的WAF都存在策略性绕过4.由于waf的业务限制等各种原因导致存在通用绕过 3.WAF应用分析 举例DEDECMS的一个变量注入漏洞 http://localhost/plus/down