【网络安全】WAF防护分析

最新推荐文章于 2024-04-18 10:17:44 发布
最新推荐文章于 2024-04-18 10:17:44 发布
阅读量1.5k 收藏 2
点赞数
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52149675/article/details/123732110
版权

WAF防护分析

1、什么是wAF应用?

​ Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

2、如何快速识别WAF?

1、采用工具wafwoof

获取地址:https://codeload.github.com/EnableSecurity/wafw00f/zip/refs/heads/master

安装之前一定要有python的环境不然安装不上

安装
D:\网安\wafw00f\wafw00f-master>python setup.py
使用
D:\网安\wafw00f\wafw00f-master\wafw00f>python main.py https://www.nctry.com/

                   ______
                  /      \
                 (  Woof! )
                  \  ____/                      )
                  ,,                           ) (_
             .-. -    _______                 ( |__|
            ()``; |==|_______)                .)|__|
            / ('        /|\                  (  |__|
        (  /  )        / | \                  . |__|
         \(_)_))      /  |  \                   |__|

                    ~ WAFW00F : v2.1.0 ~
    The Web Application Firewall Fingerprinting Toolkit

[*] Checking https://www.nctry.com/
[+] The site https://www.nctry.com/ is behind 360WangZhanBao (360 Technologies) WAF.
[~] Number of requests: 2

wafw00f的缺点判断的不是特别的准确存在误报或识别不出的情况。

2、在有些网站的请求信息当中有的网站没有做安全信息上面留下了waf的相关信息

image.png

3、identYwaf

参考地址:https://github.com/stamparm/identywaf


D:\网安\waf扫描\identYwaf-master>python identYwaf.py https://www.nctry.com/
                                    __ __
 ____  ___      ___  ____   ______ |  T  T __    __   ____  _____
l    j|   \    /  _]|    \ |      T|  |  ||  T__T  T /    T|   __|
 |  T |    \  /  [_ |  _  Yl_j  l_j|  ~  ||  |  |  |Y  o  ||  l_
 |  | |  D  YY    _]|  |  |  |  |  |___  ||  |  |  ||     ||   _|
 j  l |     ||   [_ |  |  |  |  |  |     ! \      / |  |  ||  ]
|____jl_____jl_____jl__j__j  l__j  l____/   \_/\_/  l__j__jl__j  (1.0.134)

[o] initializing handlers...
[i] checking hostname 'www.nctry.com'...
[i] running basic heuristic test...
[i] rejected summary: 493 ('<title>493</title>')
[+] non-blind match: '360'
[!] multiple (reactive) rejection HTTP codes detected (493, 503)
[!] multiple (reactive) rejection HTML responses detected
[i] running payload tests... (45/45)
[=] results: 'x.xxxxxxx..xxxxxxxxxxxxxxxxxx.xxxxxx...xx.xx.'
[=] hardness: insane (80%)
[=] blocked categories: HTML, SQLi, XSS, XPATHi, XXE, LDAPi, PHPi, ACE, PT
[=] signature: 'd629:RVdXum61OElCWapBYKcPk4JzWOpohM4JiUcMr2RXg1uQJbX3uhdOn9htOj+hX7AB16FcPxJPdLsXo2tKaK99n+i7c4VmkwI3FZjxtDtAeq+c36A4chW1XaTC'
[+] blind match: 'Barracuda (Barracuda Networks)' (93%), '360' (93%)

与wafwoof相比运行速度慢,比较稳定推荐还是使用这一款工具。

3、识别wAF对于安全测试的意义?

对于一个网站要是使用了waf而渗透人员没有识别直接使用工具进行扫描有可能会导致waf将你的ip地址拉入黑名单而不能访问。而识别waf在于有针对性行的绕过各个厂商的waf可能存在着不同的绕过思路。

crabin_lpb
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网站安全防护(WAF)有什么用?
qq_780662763的博客
10-23 1130
网站安全防护(WAF)一款通过对http请求的检测分析,为Web应用提供实时防护安全产品。WAFWeb Application Firewall的缩写,WAF是云盾提供的一项安全服务,为云主机提供WEB安全防护服务,能够有效防黑客利用应用程序漏洞入侵渗透。 1、网站安全防护的主要功能: 漏洞攻击防护:网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。 虚拟补丁:网站安全防护可提供0Day,NDay漏洞防护。当发现有未公开的0D
windows下安装wafw00f
Barlow_121212的博客
06-04 1788
为了j 1.wafw00f的介绍 在渗透测试中,经常要辨别WAF。而这款工具就可以为我们快速的辨别WAF.
wafw00f检测waf工具使用
冯的博客
08-16 843
G:\cyberSecurity\tools\wafw00f-master>python setup.py install 使用该命令安装脚本 安装结束后使用命令 G:\cyberSecurity\tools\wafw00f-master>python wafw00f\main.py https://xxx/admin/Login/index ______ / \ (...
WEB服务器的超级防护——安全WAF
最新发布
小司机的奥拓
04-18 919
WAF以全流程防御理念为核心,实现了网络安全的可视、可控和可回溯。通过WAF,用户可以对WEB应用进行全面保护,包括对入口流量的识别和分析、对漏洞和攻击的防范和检测、以及对异常和安全事件的快速响应和处置。这样,用户可以在保障业务安全的同时,也能提高网络的可靠性和稳定性。
F5 Advanced WAF安全防护策略分享——产品+服务是防御DDoS攻击的利器
hanniuniu13的博客
12-21 349
2018年12月13日夜间,国内多家银行的HTTP、HTTPS在线业务受到了来自以海外地址为主的攻击。国内电信运营商在第一时间针对80端口及443端口的CC攻击进行了封堵,有效地保护了被攻击金融客户的链路,但是即便是经过了运营商进一步过滤,仍有不少攻击到达银行的数据中心,导致其对外的WEB服务器CPU使用率大幅提升,响应速度降低,影响了国内用户的正常访问。在本次DDoS攻击过程中,F5 Advanced WAF(API安全-新一代WAF)的安全防护策略被证实非常有效地帮助用户抵御了攻击。以下是F5首席技术官
WAF的网站安全防护作用
JPshangdexiaofeixia的博客
11-01 763
WAF是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。 它具有异常检测协议 、增强输入验证、及时补丁等优势功能。 Incapsula的WAF以托管服务的形式提供安全解决方案。可保护应用层免受攻击,包括OWASP前十大漏洞甚至零日威胁。 Incapsula Web应用防火墙的优势 •   针对所有威胁进行保护 Incapsula CDN是您网络应用的所...
网络安全 - Web应用防护墙(WAF
问白的博客
04-08 1164
web 服务部署在公网容易受到来自黑客的各种攻击,所以有必要使用WAF来加以保护WAF工作在第七层,是一种根据HTTP请求报文来检测入侵和防御的系统WAF实质上是解析HTTP的请求报文来进行各种模式匹配和数据过滤,所以会消耗一定的CPU,有一定的计算成本。需要我们再安全和性能之间找到一个”平衡点“
Web应用防火墙-网站安全防护
chujiuai1874的博客
02-05 372
Web应用防火墙简称WAFWeb应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。 它具有异常检测协议 、增强输入验证、及时补丁等优势功能。 我使用过 Imperva-Incapsula Web应用防火墙,感觉这款产品不错。他们都以托管服务的...
网络安全WAF攻防实战笔记
09-21
网络安全WAF攻防实战笔记,行业大神学习总结。 这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但...
网络安全防护技能视频 7课.zip
03-15
网盘文件永久链接 目录 1 工作流程规划与总结培训 2 常见攻击方式与漏洞原理 3 监测分析工具利剑iSec部署与使用. 4 监测分析工具使用(FW WAF IPS)...7 常见安全事件分析场景与案例(常见攻击告警与windows安全日志分析)
强化学习智能提升WAF防护能力.zip
02-19
本项目是强化学习与网络安全相结合的实例demo,内含数据集和源码,你可以直接研究。
信息安全管理与评估技能竞赛第一阶段—任务二—网络安全设备配置与防护WAF
02-01
信息安全管理与评估 信息安全管理与评估技能竞赛 信息安全管理与评估技能竞赛第一阶段—任务二—网络安全设备配置与防护WAF
铱迅web应用防护系统-20210407-v002-高清.pdf
11-03
详细介绍了WAF产品的功能,适合IT从业者学习和了解
WAF的原理
jj1130050965的博客
07-20 7843
一.WAF的原理 WAFWeb应用防火墙(Web Application Firewall)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制措施。WAF分为硬件WAF、软件WAF(ModSecurity)和代码级WAFWAF对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。 WA
WAF防护功能的实现方案
JPshangdexiaofeixia的博客
11-06 1729
由于web应用的特殊性,针对web应用的攻击变形技术很多,单纯的基于特征签名的防御措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要原因。通过固定应对措施或单独使用编码技术进行防护的措施都具有一定的限制性,而防火墙能够同时兼顾两个方面的需求,在设计中通过预处理模块与检测模块的互为合作可以同时实现上述两个方面的需求。 1、 预处理模块,该模块的主要功能在于编码解码标准的实现和融入,...
什么是WAF防护
热门推荐
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
WAF安全应用防火墙(nginx+lua)
******* ▄︻┻┳═一 *******
06-26 5302
一、如果使用nginx简单实现403和404,应该都不难,只需要在配置文件中的server字段中添加相应的内容即可 1、nginx实现rerurn 403 修改nginx配置文件在server中加入以下内容set $block_user_agent 0; if ( $http_user_agent ~ "Wget|AgentBench"){ set $block_use
web应用防火墙(WAF)的安全原理与技术分析
chenyulancn的专栏
12-19 1万+
Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙。这里之所以叫做Web防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防SQL注入,也有人称为SQL防火墙。 防止网页被篡改是被动的,能阻断入侵行为才是主动型的,前边提到的IPS/UTM等产品
网络安全 (七 WAF
Aidang的博客
05-01 940
waf层层绕过 针对扫描速度,超过某种阈值,触发waf 目录扫描绕过waf 修改客户端ip------>御剑后台扫描 减慢扫描的速度 通过代理欺骗waf 手工注入 大小写变种 and 1=2 —> AND 1=3 使用SQL注释 //union//select (/**/代替空格) 使用URL编码 '—>%27 使用空字节 %01 %00 an%00d ...
网络安全WAF是什么?
03-11
网络安全WAFWeb Application Firewall)是一种用于保Web应用程序免受各种网络攻击的安全设备或服务。它通过监控、过滤和阻止对Web应用程序的恶意流量和攻击,提供了一层额外的安全防护WAF可以检测和阻止常见的Web应用程序攻击,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。它通过分析HTTP请求和响应的内容、头部和元数据,以及应用程序的行为模式,来识别潜在的攻击行为。 WAF可以根据预定义的规则集或自定义规则进行配置,以适应特定的应用程序需求和安全策略。它可以防止攻击者利用已知的漏洞和攻击技术来入侵系统,并提供实时的安全警报和日志记录,以便进行安全审计和事件响应。 总之,WAF是一种重要的网络安全工具,可以帮助保护Web应用程序免受各种网络攻击,并提高应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

crabin_lpb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值