FortiWeb - Web防护
文章平均质量分 91
FortiWeb的配置与功能介绍
飞塔老梅子
这个作者很懒,什么都没留下…
展开
-
【Web篇】(6.3) ❀ 01. DVWA 介绍与下载 ❀ FortiWeb 攻防演练
【简介】渗透测试,特别是 Web 渗透,最头疼的无疑就是寻找靶机环境,通常是不同的漏洞需要找不同的靶机源码,而不同的源码通常 Web 架构又不一样,所以要找到一套能够练习所有 Web 渗透技巧的靶机环境,经常需要搭建 N 个 Web站点,无疑大大提高了学习的入门门槛。 DVWA 介绍 DVWA (Damn Vulnerable Web Application) 是一个脆弱的PHP/MySQL网络应用。它旨在帮助安全人员在一个合法的环境下测试他们的技能和工具,帮助网络开发者更好的理解保护Web.原创 2020-07-14 16:19:26 · 1163 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 02. DVWA 安装与配置 ❀ FortiWeb 攻防演练
【简介】DVWA (Damn Vulnerable Web Application) 是一个脆弱的PHP/MySQL网络应用。它旨在帮助安全人员在一个合法的环境下测试他们的技能和工具,帮助网络开发者更好的理解保护Web应用程序的过程,并且帮助老师和学生在一个可控的教室环境中学习关于Web应用程序的知识。 DVWA 安装 DVWA的Windows运行环境XAMPP安装启动完成后,就可以安装DVWA了。 ① 鼠标右键DVWA文件,选择【全部解压缩】。 ② 解压缩后,在DVWA.原创 2020-07-14 17:51:08 · 1030 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 03. FortiWeb VM 下载与安装 ❀ FortiWeb 攻防演练
【简介】FortiWeb 是一款保护、负载平衡与加速web应用、数据库之间信息交换的web应用层防火墙。FortiWeb设备阻断如跨站点脚本、SQL注入、缓冲区溢出、远程文件包含、拒绝服务,cookie中毒、schema中毒、和无数的其他攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。 FortiWeb VM 下载 FortiWeb和FortiGate一样,也有虚拟机版本。我们可以很容易的得到测试版本。 ① 用浏览器(建议火狐或谷歌)打开网页 https://sup..原创 2020-07-15 11:20:51 · 2249 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 04. FrotiWeb VM保护DVWA (上) ❀ FortiWeb 攻防演练
【简介】我们在虚拟机上已经成功的安装了FortiWeb VM与DVWA靶场,现在需要做的就是配置FortiWeb VM来保护DVWA,查看在攻击DVWA的时候,FortiWeb是否会起作用。 FortiWeb 与 DVWA 连接 在物理设备的情况下,只需要用网线就可以连接两台设备了,但是在虚拟机的环境下,还是要做一些设置的。 ① 在命令模式下,执行命令 execute shutdown,关闭FortiWeb VM。 ② 前面设置了FortiWeb VM的第一个接口用来连..原创 2020-07-15 17:47:39 · 777 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 05. FrotiWeb VM保护DVWA (下) ❀ FortiWeb 攻防演练
【简介】FotiWeb配置完成虚拟服务器和主机池后,就需要配置服务器策略了,而服务器策略要用到Web保护规范,虽然已经有默认的保护规范模板,不过我们还是希望能自定义保护规范,这样能了解更多一些FortiWeb的配置方法。...原创 2020-07-16 11:22:06 · 944 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 06. Brup Suite 安装与配置 ❀ FortiWeb 攻防演练
【简介】在演示对DVWA攻击之前,我们还需要有一个抓包工具,这里推荐Burp Suite。原创 2020-07-17 12:20:37 · 811 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 07. SQL 注入 ❀ FortiWeb 攻防演练
【简介】从本篇开始,我们分析各种Web攻击的原理,展示在DVWA上产生的效果,最后是FortiWeb对这些攻击的阻断。首先我们来了解SQL注入攻击。原创 2020-07-17 17:34:10 · 841 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 08. 跨站脚本 - 反射型XSS ❀ FortiWeb 攻防演练
【简介】跨站脚本(Cross-site scripting,简称:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。从而使目标计算机收到危害。...原创 2020-07-20 16:59:27 · 985 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 09. 跨站脚本 - 存储型XSS ❀ FortiWeb 攻防演练
【简介】跨站脚本(Cross-site scripting,简称:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。从而使目标计算机收到危害。 存储型XSS 存储型XSS攻击是指注入的脚本永久存储在目标服务器上的攻击,例如在数据库、消息论坛、访问者日志、注释字段等中。受害者在请求存储时从服务器检索恶意脚本、信息。存储型XSS有时也称为持久性或Ⅰ型 XSS.原创 2020-07-21 15:44:57 · 567 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 10. 跨站脚本 - DOM型XSS ❀ FortiWeb 攻防演练
【简介】跨站脚本(Cross-site scripting,简称:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。从而使目标计算机收到危害。 DOM型XSS DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型X.原创 2020-07-22 11:20:34 · 1637 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 11. 文件上传 ❀ FortiWeb 攻防演练
【简介】File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 文件上传 服务器端没有对客户端上传的文件进行严格验证或过滤,用户可以上传一个可执行的脚本文件,并通过此脚本获得了执行服务器端命令的能力。 漏洞危害:针对上传功能的Dos攻击 使上传文件在服务器上作为脚本执行 诱使用户下载恶意文件 越权下载文件 常见绕过攻击包括:.原创 2020-07-22 17:33:46 · 583 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 12. 文件包含 ❀ FortiWeb 攻防演练
【简介】File Inclusion,即文件包含漏洞,开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含。开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞。...原创 2020-07-23 15:47:15 · 476 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 13. 命令注入 ❀ FortiWeb 攻防演练
【简介】Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 命令注入 有些应用中,可能允许使用者向后台操作系统发送命令并执行,例如测试同网站的连接(ping命令),这种功能一般通过如PHP中的exec、shell_exec和ASP中的wscript.shell等函数实现。命令注入(command injection)漏洞指的是在这些功能中,由于对操作者的输入或返回的输出结果控制不严导致能够让恶意操作者利用管道符等将恶意系..原创 2020-07-27 16:30:11 · 703 阅读 · 0 评论 -
【Web篇】(6.3) ❀ 14. 跨站请求伪造 ❀ FortiWeb 攻防演练
【简介】CSRF (Cross-site request forgery),即跨站请求伪造,也被称为 one-click attack 或者 session riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的则是网站对用户网页浏览器的信任。是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。...原创 2020-07-28 15:26:41 · 709 阅读 · 1 评论 -
【Web篇】(6.3) ❀ 15. Kali 下载与安装 ❀ FortiWeb 攻防演练
【简介】Kali 是一个基于 Debian 的 Linux 发行版。它的目标就是为了简单:在一个实用的工具包里尽可能多的包含渗透和审计工具。Kali 实现了这个目标。大多数做安全测试的开源工具都被囊括在内。...原创 2020-07-30 17:42:43 · 1053 阅读 · 0 评论