F5-ASM
祖传大铁锅
做一个爱学习,爱dota的学渣
展开
-
F5-ASM-AdvWAF-manual learn mode-positive(六)
下面我们来看positive的情况(开始前清除日志),以file type为例开启positive,需要开启学习概念说明:entity:简单来说就是配置对象,给配置的对象整个名字,看下截图的就知道了。file type,urls,parameters这几个entity的Alarm、Learn、Block勾上浏览器输入这个uri:http://auction.f5de...原创 2019-08-19 09:41:29 · 427 阅读 · 0 评论 -
F5-ASM-AdvWAF-Brute Force Attcks(十四)
1,做Brute Force防护简单来说就是要识别人和机器的差别,F5根据source IP、username、Device ID判断,Device ID就是F5根据一些客户端特性,将每个客户端定义成唯一,然后做判断,因为经过nat、代理源地址可能是一个,所以不能单纯根据IP做判断。当F5判断客户端有问题时候,会发一个JavaScript脚本给客户端,也会发CSPTCHA给客户端,做CSID时...原创 2019-08-22 11:59:01 · 352 阅读 · 0 评论 -
F5-ASM-AdvWAF-业务访问顺序的flow control(十三)
1,做业务登陆的强制访问顺序,就是要想访问xxx.com/b,必须先访问xxx.com/a 。2,上demo,先要登陆到user_login.php,然后再登陆sell.php先定义login url:找到认证方式找到登陆成功的response code 配置login enforcement,定义拿个页面必须要经过login页面才能访问定义logo...原创 2019-08-21 16:58:07 · 238 阅读 · 0 评论 -
F5-ASM-AdvWAF-parameter的补充说明(十二)
1,F5的parameter是有个优先级,和vs匹配顺序一样,先精细化然后再到广泛,而且只匹配高级的,一张图说明2,补充个特殊情况,正常情况parameter都是name/value成对出现,但是有时候不是的,如下图,这种时候要单独到F5上定义...原创 2019-08-20 17:54:27 · 224 阅读 · 0 评论 -
F5-ASM-AdvWAF-动态parameter的防护(十一)
1,了解动态parameter的概念动态paramaters还是name/value成双成对,但是value是跟随不同用户不同的值,比如用户名/银行卡号。F5通过一个叫“extraction”动作去定义和发现服务器response内url或file type中的动态parameter,一旦发现动态parameter,F5会插入asm的专有cookie(frame cookie,具体啥意思a...原创 2019-08-20 17:19:49 · 316 阅读 · 0 评论 -
F5-ASM-AdvWAF (1-4)
F5-AdvWAF实验-PHP "Hack-It-Yourself"(一)https://blog.51cto.com/8525378/2429339F5-ASM-AdvWAF实验-一些基础知识(二)https://blog.51cto.com/8525378/2429572F5-ASM-AdvWAF-RDP(Rapid Deloyment template)(三)https:...原创 2019-08-15 14:53:05 · 566 阅读 · 0 评论 -
F5-ASM-AdvWAF-静态parameters的防护(十)
1,静态parameters:parameters格式是“nam=value”,静态的paramerers就是一个value,后面几个固定选项,比如购物时候选择付款方式,有微信,支付宝,银行卡等信息,看hit-it-yourself的例子这其实也是一个静态parameter假如你有确定的parameter,可以在parameter那里直接添加白名单,so,还是用学习...原创 2019-08-20 15:07:44 · 284 阅读 · 0 评论 -
F5-ASM-AdvWAF-防http referer修改(九)
1,访问/index.php修改header select*from OPENROWSET(‘SQLOLEDB’)页面会被block查看log,被block原因不演示没有asm情况了,自己对比就好记得还原fiddler修改...原创 2019-08-19 16:34:39 · 404 阅读 · 0 评论 -
F5-ASM-AdvWAF-防cookie篡改(八)
1,防篡改asm处理流程F5在response会插入一个TS_开头,紧跟6位十六进制数值。F5有个专有名称叫main cookie。还有frame cookie,featrue cookie,具体啥意思搜ask f5.2,上demo演示用匿名窗口访问/index.php打开fiddler,并做如下操作然后在php点sell an item修改header...原创 2019-08-19 16:09:34 · 789 阅读 · 0 评论 -
F5-ASM-AdvWAF-学习模式的一些分享(七)
(一)、学习模式选择1,学习模式建议使用手动,总的来说就是机器是死的,他只能根据既定的规则运行。只有人才知道什么是正常请求,什么不是。举个很简单例子,假如在开启学习模式时候,有黑客攻击,F5可能会把他认为是正常请求。(二)、学习时间1,截图这个时间不是策略建立时间开始算的,是单个策略的时间,每个策略的时间都是单独计算的。当天的晚上的23:59:59-到七天后的23...原创 2019-08-19 11:15:44 · 1216 阅读 · 0 评论 -
F5-ASM-AdvWAF-manual learn mode-negative(五)
一,学习模式是asm日常运维的核心,简单来说就是上ASM策略后,看学习建议(violation),判断是不是误报(false positives),下决定,直到达到我们预期二,通过demo说明violation:请求到达F5时,F5根据配置的策略检查该请求,如果该请求不符合F5配置的策略,那么就认为该请求是不合法的,叫violation,在学习页面查看1,使用前面建立的RDP(...原创 2019-08-17 16:54:38 · 607 阅读 · 0 评论