Waf功能、分类与绕过

最新推荐文章于 2023-08-01 20:00:55 发布
最新推荐文章于 2023-08-01 20:00:55 发布
阅读量349 收藏
点赞数
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/129060054
版权
本文详细介绍了Web应用防火墙(WAF)的工作原理,包括其主要功能,如木马查杀、流量监控、漏洞防御等。接着,文章阐述了市场上的WAF分类,包括硬件、软件和云WAF。最后,讨论了多种WAF绕过方法,如修改请求方式、编码绕过和利用特殊字符等。同时,提出了建议,强调理论学习与实践经验相结合的重要性。
摘要由CSDN通过智能技术生成

一. waf工作原理

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

常见的系统攻击分为两类:

  • 一是利用Web服务器的漏洞进行攻击,如DDOS攻击、病毒木马破坏等攻击;
  • 二是利用网页自身的安全漏洞进行攻击,如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。
1. waf简介

WAF是Web应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制措施。WAF分为硬件WAF、软件WAF(ModSecurity)和云WAF。

WAF对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。

1. WAF主要功能

1.网马木马主动防御及查杀

网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90%

2.流量监控

能够实时监测到每个网站的进出流量和总流量,以及每个应用程序池及网站的CPU占用情况

3.网站漏洞防御功能

可拦截GET、POST、COOKIES等方式的SQL注入,可对GET、POST、COOKIES分别定义特征码,以及可拦截XSS注入等行为。 4. 危险组件防护功能

全面拦截恶意代码对组件的调用权限,拦截IIS执行恶意程序,保护网站安全 5. .Net安全保护模块

快捷设置.Net安全模式,禁止.Net执行系统敏感函数,保障网站安全 6. 双层防盗链链接模式

可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用。如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面 7. 网站特定资源防下载

支持对doc、mdb、mdf、myd等特定资源的防下载保护,加入要保护的敏感资料的路径,即可防止敏感资料被下载 8. CC攻击防护

自主研发的独特抗攻击算法,高效的主动防御系统可有效防御CC攻击、流量攻击。 9. 网站流量保护

支持下载流量控制、

最低0.47元/天 解锁文章
哈喽沃德er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入&WAF绕过姿势
4ct10n
03-02 2万+
# 1.WAF过滤机制: 1.异常检测协议–拒绝不符合HTTP标准的请求; 2.增强的输入验证–代理和服务端的验证而不只是限于客户端验证; 3.白名单&黑名单机制–白名单适用于稳定的Web应用,黑名单适合处理已知问题; 4.基于规则和基于异常的保护–基于规则更多的依赖黑名单机制基于,基于异常根据系统异常更为灵活; 5.另外还有会话保护、Cookies保护、抗入侵规避技术、响应监视和信息泄
【红日Day13-CTF】特殊WAF SQL注入绕过
PZ的博客
01-20 996
练习记录 复现代码: index.php <?php require 'config.php'; function dhtmlspecialchars($string) { if (is_array($string)) { foreach ($string as $key => $val) { $string[$key] ...
ctf wav文件头损坏_WAF绕过第三阶段:文件上传
weixin_39717598的博客
11-25 282
“旨在研究WAF对抗”01—Bypass Upload测试环境:SafedogV4.0+phpstudy+uploadlabs测试条件:upload存在MIME验证绕过,如图代码:(仅验证类型)开始测试拦截规则:其中上传参数说明解释:301793114315180:Content-disposition头提供给浏览器确定HTTP响应内容的信息。当浏览器读到这些头信息后,它能确定:# H...
掌控安全靶场第二章:遇到阻难!绕过WAF过滤!
k1k5cn的博客
11-10 2500
最近在学习CTF,前不久发现一个还不错的靶场 封神台 - 掌控安全在线演练靶场 二话不说,开干吧 第二章:遇到阻难!绕过WAF过滤! 一、测试是否有注入点 附上链接 https://hack.zkaq.cn/battle/target?id=31ac789a52edf9bb 标题上写了是【配套课时:SQL注入攻击原理 实战演练】SQL注入, 随便点击一个新闻。在id=171后面加一个引号’,测试一下是否有SQL注入。 有弹框了,提示过滤了很多关键字。下一步考虑如何绕过这些关键字。 二、绕过WAF关键字过滤
php string ctf,PHP字符解析特性绕WAF【buuctf题 easy calc】
weixin_39939601的博客
03-11 297
一、PHP字符串解析特性PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会:1.删除空白符2.将某些字符转换为下划线(包括空格)例如,/?%20news[id%00=42会转换为Array([news_id] => 42),然后参数%20news[id%00的值将存储到$_GET["news_id"]中。(URL编码%20是空格,%00是0)例如:User inputDec...
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
那些年我们绕过WAF
05-07
- **Unicode编码**:与URL编码类似,通过Unicode编码也能隐藏特殊字符,比如将字符'e'编码为'%u0065',以尝试绕过WAF的检查。 2. **利用WAF的不完整规则**: - 对于Disucz X内置的_do_query_safe()函数,攻击者...
长亭waf绕过1.pdf
07-09
长亭waf绕过1
WAF误报及绕过测试.xlsx
09-09
本文件是攻击报文:含有攻击性的post/get报文请求,可以作为网络安全测试的工具进行使用,文件含有攻击性,切勿使用将其用作攻击他人网站测试
WAF是时候跟正则表达式说再见-破见
11-03
WAF是时候跟正则表达式说再见-破见。难得的PPt学习资料
WAF详解及WAF绕过
赤赤三的博客
03-20 8774
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
命令执行中多种文本查看绕过waf命令合集
Thunderclap的博客
02-25 579
当渗透测试或者打CTF时,目标环境中存在waf或者一些过滤不允许执行一些查看文本命令,可以通过如下其他的未过滤命令进行利用
WAF绕过-权限控制篇-后门免杀
最新发布
xiaoheizi的博客
08-01 310
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的。
47:WAF绕过-漏洞发现之代理池指纹被动探针
mingyqf的博客
05-07 1220
47:WAF绕过-漏洞发现之代理池指纹被动探针 文章目录思维导图**漏洞发现触发WAF点-针对xray,awvs等****案例1:代理池Proxy_pool项目搭建及使用解释**这里我是直接用phpstudy 搭建redis**案例2:充钱代理池直接干safedog+BT+aliyun探针****案例3:safedog-awvs漏扫注入测试绕过-延时,白名单****案例4:Aliyun_os-awvs漏扫注入测试绕过-延时白名单****案例5:BT(baota)-awvs+xray漏扫payload绕过-延
ctf通防waf
weixin_60777183的博客
11-07 763
<?php /**CTF—**/ error_reporting(0); class CTF_WAF{ public $getfilter; public $postfilter; public $cookiefilter; public $orther; public $url; public $dir; public $ip; public $Waf_switch;
sql注入之waf绕过1()
weixin_52699809的博客
12-06 394
常用于过滤空格等将空格替换为/*11*/ ,把11换成 !*/ 放入bp爆破未完待续

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值