waf测试

最新推荐文章于 2023-12-15 15:07:39 发布
最新推荐文章于 2023-12-15 15:07:39 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: 其他 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38312411/article/details/127092644
版权

waf简介

WAF防火墙其实就是Web Application Firewall,是一个web应用防护系统。企业等用户一般采用防火墙作为安全保障体系的第一道防线。WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,对各类网站站点进行有效防护,从而保障网站的业务安全和数据安全。

主要作用:

  • 漏洞攻击防护,可防御常见Web应用攻击,列如SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等常见的攻击行为。
  • 虚拟补丁,可提供0Day,NDay漏洞防护。当发现有未公开的0Day漏洞,或者刚公开但未修复的漏洞被利用时,可以在Web应用漏洞补丁发布和修复之前,通过调整Web防护策略实现快速防护,抵挡黑客的攻击,防护网站安全。
  • 0day补丁定期及时更新:及时更新漏洞补丁,防护网站安全。
  • 简介转载:什么是WAF防火墙以及具体作用_德迅云安全杨德俊的博客-CSDN博客_waf防火墙

测试

添加域名并开启cdn加速后,又面临web安全问题,以下为waf测试实践 

网站防护规则

  • cc安全防护

可根据IP或Cookie设置灵活的限速策略,有效缓解CC攻击,主要配置参数:

匹配字段覆盖:referer、url路径、请求参数、user-agent、http请求方法、cookie key、cookie value、header key、header value、content type、content length

  • ip黑白名单

自定义IP名单,精准识别部分IP是需要拦截或放行

  • 自定义防护策略

对常见HTTP字段进行条件组合,支持定制化防护策略

  • 地域封禁

可以对境外国家和地区以及中国各大省份和地区进行黑名单封禁,阻断该区域的所有访问来源。

安全报表

验证点:

开启规则后,验证拦截是否生效,即不会让请求打到业务机器。

木瓜星灵
关注
专栏目录
WAF检测率及误报测试工具Gotestwaf
colgcolg的博客
01-02 1万+
WAF检测率 误报率测试工具
WAF检测研究一_系统自动跳转 waf,2024年最新在线面试指南
最新发布
m0_60568072的博客
04-18 410
这里提到了一个字典的概念,字典这玩意很重要,可以说字典的质量、广度和深度决定了这个扫描器的上限。服务器通过PHP的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,非法用户可以构造这个恶意文件来达到恶意的目的,如读取目标主机上的其他文件,远程文件包含可运行的PHP木马,包含一个创建文件的PHP文件,本地文件包含等。有些参数可能在括号里面,所以也可以在参数后面加单双引号和括号,如id=1’) --+或 id=1") --+或id=1’) #或id=1") --+;
系统安全-WAF入侵防御系统测评指标
2302_79423711的博客
12-15 1172
WAFWeb Application Firewall)是一种部署在web应用程序前面的安全系统,其作用是在用户请求到达web服务器之前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。WAF可以防止源自web应用程序的安全漏洞(如SQL注入,跨站脚本攻击,文件包含和安全配置错误)的攻击。入侵防御检查是WAF的一项重要功能,其目的是及时发现并阻止针对web应用程序的恶意攻击,保护网站和应用程序的安全
web防火墙WAF功能测试方案
10-17
根据国际权威机构WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,国内外的信息安全厂商当前能防范的针对Web服务器的攻击类型主要有SQL注入攻击、XSS攻击、HTTP Flood攻击、爬虫、CGI扫描、漏洞扫描、盗链防护、CSRF(Cross-Site Request Forgery)攻击防护等。但事实上,能防范和能准确高效防范是两个完全不同的概念。只有提供准确高效防范,才能保护最终用户的投资,并提升对外交互体验。纵观国内外的WAF产品,针对这些攻击的检测手段也各有特色。
什么是WAF防护?
热门推荐
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
waf测试工具
juewuer的博客
12-12 2236
浏览器 (win: chrome, Edge, IE11……) Curl (Linux) Wrk (linux, 七层发包工具) ab (linux, 七层发包工具) Sqlmap (渗透测试) loic – ddos BurpSuit(社区版,商业版) Acunetix(win, Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱...
waf测试用例
weixin_34198583的博客
10-07 677
XSS Filter Evasion Cheat Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet MySQL Inject Bypass WAF http://pastebin.com/D8UXsyR8 转载于:https://www.cnblogs.com/debugzer0/ar...
X-WAF简单测试体验
08-27 2518
 X-WAF 最近才关注到的一款云WAF,花了一些时间搭建了一个环境,并做了一些测试,感觉比较适合新手来练习WAF Bypass。 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 官网:https://waf.xsec.io/ 源码:https://github.com/xsec-lab 安装部署 系统版本:Centos6.5 x86...
ftw:测试WAF的框架(FTW!)
05-03
WAF测试框架(FTW) 目的 该项目是由ModSecurity和Fastly的研究人员创建的,旨在为WAF规则提供严格的测试。 它使用OWASP Core Ruleset V3作为基线来测试WAF上的规则。 规则集中的每个规则都加载到YAML文件中,该文件...
测试-WAF防护测试-2020.8.27.docx
09-01
这个是公司新买了一台WAF,我测试功能是否正常时的记录。仅供同学们参考,没有太多的技术含量。如果同学们在使用的过程中有不明白的地方可以咨询我
WAF-应用层攻击保护测试对比
09-12
对比启明星辰、绿盟、安恒等品牌WAF在应用攻击保护时的策略防护能力。 二. 测试步骤 2.1 环境漏洞验证 验证序号 1 验证方法 用and 1=1和and 1=2验证注入漏洞 测试步骤 1. 在浏览器打开...
WAF误报及绕过测试.xlsx
09-09
本文件是攻击报文:含有攻击性的post/get报文请求,可以作为网络安全测试的工具进行使用,文件含有攻击性,切勿使用将其用作攻击他人网站测试
web渗透测试WAF绕过讲解(一)
ZDH5362的博客
08-20 677
---恢复内容开始--- 0x01 前言 许多Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断的骚操作绕过。WAF与Hacker总是在斗智斗勇,经过长时间的发展,近年越来越多的Hacker投入到与WAF进行对抗,相对应的绕过方法也被大量的暴露出来,笔者今日就先进行个小小的科普先来说说WAF是什么。 0x02 什么是WAF? ...
使用Gotestwaf测试WAF检测能力
weixin_43977912的博客
10-08 762
关于Gotestwaf Gotestwaf,全称为Go Test WAF,该工具可以使用不同类型的攻击技术和绕过技术来测试Web应用程序防火墙的检测能力。Gotestwaf是一个基于Go开发的开源项目,它实现了一种三步请求生成过程,可以对编码器和占位符的Payload进行相乘操作。假设你定义了2个Payload、3个编码器(Base64、JSON和URLencode)和1个占位符(HTTP GET变量)。在这种情况下,Gotestwaf将在测试用例中发送231=6个请求。 Payload 你可以发送的Pa
利用 PHP 特性绕 WAF 测试
二狗的博客
08-09 348
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
waf 绕过测试工具
cnbird's blog
08-08 1224
https://github.com/ironbee/waf-research http://www.ernw.de/download/tsakwaf/tsakwaf-0.9.1.tar.gz http://sourceforge.net/projects/inundator/files/
WAF的识别、检测、绕过原理与实战案例
2301_81250923的博客
11-30 1330
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
WAF-bypass:一款功能强大的Web应用防火墙安全测试工具
dzqxwzoe的博客
10-01 325
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
owasp bwa虚拟服务器无法访问,国际owasp四星waf测评报告(19页)-原创力文档
weixin_35899659的博客
08-10 266
互联网安全研究中心中国 深圳 电话: +86-755传真: +86-755电子邮件: info@ 网址:WAF 测评报告深信服 NGAF Web 防护能力测试2012 年 12 月深信服 NGAF Web 防护能力测试1目 录1. WAF 测评介绍 .............................................................................
如何测试waf拦截反序列化漏洞
04-28
测试WAF拦截反序列化漏洞的方法如下: 1. 构造一个包含反序列化漏洞的请求,例如在请求中添加一个包含恶意代码的序列化对象。 2. 发送该请求到目标应用程序,并观察应用程序的响应和行为。 3. 如果应用程序没有正确地处理反序列化漏洞,它可能会受到攻击,例如执行恶意代码、泄露敏感信息等。 4. 同时,WAF应该能够检测到该请求中的恶意代码,并拦截该请求,从而保护应用程序不受攻击。 5. 可以使用一些常见的反序列化漏洞测试工具,如 ysoserial、Java-Deserialization-Scanner 等来进行测试。 总之,测试WAF的拦截效果需要针对具体漏洞进行测试,以确保WAF能够准确地检测和拦截攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值