waf
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品
WAF与网络防火墙的区别
网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
Waf的种类
- 硬件设备类(绿盟、启明、安恒、知道创宇、天融信等)
软件产品类(安全狗、云锁、D盾等)
基于云的WAF(阿里云、安恒、知道创宇)
waf识别
1.wafwoof
用这个脚本可以进行一些waf的识别
用安全狗做演示
脚本地址:
- https://github.com/EnableSecurity/wafw00f
app信息收集
随着移动互联网的迅速发展,移动智能终端中包含了大量的个人信息及重要数据,其安全性也日益成为人们共同关注的问题。作为近几年在市场中的份额增长最快、最流行的开源手机操作系统Android,也顺势成为了主要的攻击目标。为了防范恶意攻击,必须在攻击者之前尽可能的发现和了解系统及网络的各项漏洞,并及时做出防范。检查系统漏洞,渗透测试是一个非常好的方式之一。然而,一般的渗透测试方案大多针对传统网络设备及环境,随着传统的网络安全问题出现在移动互联网领域中,针对移动智能终端的渗透测试也显得意义重大。
移动app安全方面的威胁主要在本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,但是在这块的安全漏洞也是非常多的。
往往在测试的过程中,如果web方面没有突破口 就可以通过app来寻找突破口
在海量的应用中,APP可能会面临如下威胁:
- 木马、病毒、篡改、破解、钓鱼、二次打包、账号窃取、广告植入、信息劫持等
查找app服务端漏洞的方法
- 1、反编译APP:有两种反编译方式,dex2jar和AndroidKiller
- 2、http[s]代理抓包: 这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互。
app抓包配置
app抓包首先得配置burp和模拟器里面的证书以及代理
模拟器代理配置
ip需要和物理机cmd中ipconfig的一样
burp设置
然后下载burp证书
下载之后后缀改为cer
然后在安全里面从SD卡添加证书
测试app抓包
打开app 和burp
登录之后
就可以看到ip 这个ip一般就是网站真实ip
拿到ip之后就可以进行后一步的信息收集
app反编译
还可以通过反编译进行app的相关信息收集
可以用这个工具Androidkiller
直接将app丢进去就可以了
就可以通过源码等 收集到一些敏感信息等