<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                合規國際互聯網加速 OSASE為企業客戶提供高速穩定SD-WAN國際加速解決方案。 廣告
                # WAF基礎及云WAF繞過 ## WAF基礎 ### WAF簡介 網站WAF是一款服務器安全防護軟件,是為IDC運營商、虛擬主機服務商、企業主機、服務器管理者等用戶提供服務器安全防范的實用系統,是集網站內容安全防護、網站資源保護及網站流量保護功能為一體的服務器工具。 waf硬件軟件功能是差不多,像一個防火墻一樣,創建在企業鏈路上,基本是企業必備的,按域名收費 ### WAF分類 1. 軟件 裝在主機側(服務器)上的軟件,比較出名的如安全狗 2. 硬件 裝在企業鏈路上的,所有流量都要進過的硬件 3. 云waf 通過DNS解析到云WAF,訪問網站的流量要經過指定的DNS服務器解析,然后進入WAF節點進行過濾,最后訪問原始服務器 ### waf檢測階段流程 ![mark](http://noah-pic.oss-cn-chengdu.aliyuncs.com/pic/20210803/203904427.png) ## waf繞過方法 ### WAF身份認證階段的繞過 WAF是有一個白名單的,在白名單內的客戶請求將不做檢測 繞過方法一:偽造搜索引擎 老版本的WAF是有這個漏洞的,就是把User-Agent修改為搜索引擎,便可以繞過,進行sql注入等攻擊, 這里推薦一個火狐插件,可以修改User-Agent,叫User-Agent Switcher(現在不可以了) 繞過方法二:偽造白名單特殊目錄 之前360webscan有這個缺陷,如果是admin之類的目錄,就不檢測,現在也不行了 繞過方法三:直接攻擊源站 這個方法可以用于一些云WAF,如果我們能通過一些手段(比如c段、社工)找到原始的服務器地址,便可以繞過 ### 云WAF尋找源站 1. 很多公司不是全部域名都上了云waf 只要找到這些域名,就可以找到真實IP,如郵件域名,就是典型的不上WAF的 2. 利用泛域名獲取真實IP 開啟泛域名解析之后,任何不存在的域名都可以解析為www域名,可以解決暴力破解 當如果我們ping這種不存在的二級域名,得到的會是真實IP地址 3. 同時也可以利用burp中插件bypass waf 注意burp任何插件安裝后都要在項目選項,會話處理進行配置 4. 可以偽造本地訪問,改包頭地址為`127.0.0.1`或其他內網地址
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看