应用安全
文章平均质量分 71
应用安全
securitysun
分享个人历年来工作中整理的笔记 vx:prc0451
展开
-
HTTP 响应头Content-Security-Policy
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。如需更多信息,请查阅Content Security Policy (CSP)。禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..原创 2020-08-24 18:33:55 · 9391 阅读 · 0 评论 -
http content_security_policy
扩展默认情况下对其应用了内容安全策略。默认策略限制了它们可以从中加载<script>和<object>资源的来源,并且禁止使用诸如之类的潜在不安全做法eval()。请参阅默认内容安全性策略以了解有关此含义的更多信息。您可以使用"content_security_policy"清单密钥来放松或收紧默认策略。该密钥的指定方式与Content-Security-Policy HTTP标头相同。有关CSP语法的一般说明,请参见使用内容安全策略。例如,您可以使用此键执行以下操作:..原创 2020-08-24 19:06:47 · 485 阅读 · 0 评论 -
http协议之内容安全策略(CSP)
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里章节1.1)。不支持CSP的浏览器也能与实现了CSP的服务器正常合作,反之亦然:不支持 CSP 的浏览器只会忽略它,如常运行,默认为网页内容使用标准的同源策略。如果网站不提供 CSP 头部,浏览器也使用标准的同源策略.....原创 2020-08-10 17:00:56 · 1177 阅读 · 0 评论 -
HTTP协议之数据压缩
数据压缩是提高 Web 站点性能的一种重要手段。对于有些文件来说,高达70%的压缩比率可以大大减低对于带宽的需求。随着时间的推移,压缩算法的效率也越来越高,同时也有新的压缩算法被发明出来,应用在客户端与服务器端。在实际应用时,web 开发者不需要亲手实现压缩机制,浏览器及服务器都已经将其实现了,不过他们需要确保在服务器端进行了合理的配置。数据压缩会在三个不同的层面发挥作用:首先某些格式的文件会采用特定的优化算法进行压缩, 其次在 HTTP 协议层面会进行通用数据加密,即数据资源会以压缩的形式进行端原创 2020-08-10 16:50:42 · 1040 阅读 · 2 评论 -
http Content Security Policy内容安全策略
默认情况下,使用WebExtension API开发的扩展具有内容安全策略(CSP)。这限制了它们可以从中加载<script>和<object>资源的源,并禁止了诸如之类的潜在不安全做法。eval()本文简要介绍了什么是CSP,默认策略是什么以及对扩展的含义以及扩展如何更改默认CSP。内容安全策略(CSP)是一种有助于防止网站无意间执行恶意内容的机制。网站使用从服务器发送的HTTP标头指定CSP。CSP最关心的是指定各种内容的合法来源,例如脚本或嵌入式插件。例如,网站可..原创 2020-08-24 18:38:21 · 570 阅读 · 0 评论 -
waf应对csrf攻击防护方案
在表单里隐藏一个随机变化的 token,每当用户提交表单时,将这个 token提交到后台进行验证,如果验证通过则可以继续执行操作。连接redis以csrf_.. ngx.var.cookie_csrf为key查找如果找到了返回value和ok,否则 not found返回ok后从请求参数中get_post_args得到csrf字段,如果这个csrf字段value和从redis查找的value一致那么放行,ngx.var原创 2022-05-04 12:40:48 · 2125 阅读 · 0 评论 -
WAF系统如何防爬虫
恶意爬虫则可能会在某个时间段大量请求某个域名的特定地址或接口,这种情况很可能是伪装成爬虫的CC攻击,或是经第三方伪装后针对性爬取敏感信息的请求。当恶意爬虫请求量大到一定程度,往往造成服务器的CPU飙升,导致网站无法访问等业务中断问题。WAF针对恶意爬虫进行风险预警,提示用户昨日的爬虫请求情况。可以结合具体的业务情况,有针对性地配置下列规则中的一种或几种,拦截对应的爬虫请求。用户自定义规则。默认UA,爬虫软件禁封。太lowCC频次,具体url。变幻ip 肉鸡 cc无效地域禁封。 ...原创 2020-05-26 11:31:04 · 2033 阅读 · 0 评论 -
绕过WAF的XSS语句
吐血整理转载请说明。原文收集于OWASPXSS_Filter_Evasion_Cheat_Sheethttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheethttp://ha.ckers.org/xss.html正文:XSS JavaScript injection:<SCRIPT SRC=ht...原创 2020-02-25 14:23:26 · 2232 阅读 · 1 评论 -
cloudflare Keyless方案基本原理
cloudflare Keyless方案基本原理经典的Alice和Bob通信问题思考???openssl RSA算法加解密过程:openssl RSA+keyserver加解密过程:openssl DH加密算法加解密过程:openssl DH+keyserver加解密过程:1)修正openssl库协商处理流程,以支持无私钥交互流程2)...原创 2020-02-24 17:57:16 · 607 阅读 · 0 评论 -
DNS 缓存&授权服务器攻击简介
DNS架构当用户上网访问某个网站时,会向DNS缓存服务器发出该网站的域名,以请求其IP地址。当DNS缓存服务器查找不到该域名与IP地址对应关系时,它会向授权DNS服务器发出域名查询请求。为了减少Internet上DNS的通信量,DNS缓存服务器会将查询到的域名和IP地址对应关系存储在自己的本地缓存中。后续再有主机请求该域名时,DNS缓存服务器会直接用缓存区中的记录信息回应,直到该记录老化,被删除,互联网的dns模拟结构如下图:常见的dns服务器主要是缓存服务器和授权服务器,一个典型的解析过程如下原创 2022-04-15 09:44:51 · 3086 阅读 · 0 评论 -
如何在waf上用共享内存缓存压缩过的响应内容
接口响应内容比较大近800k,为了达到快速响应,给客户端带来更好的体验。减少请求延迟,减小网络传输带宽势在必行,不然会给业务端和带宽带来巨大的压力。减小请求延迟办法:将响应内容在waf上进行缓存。减小网络传输带宽办法:将响应内容压缩。原创 2022-04-13 13:41:19 · 907 阅读 · 0 评论 -
nginx-systemtap-toolkit
nginx-systemtap-toolkit - 基于 [SystemTap]为 NGINX 打造的实时分析和诊断工具集应用前提条件你的 Linux 系统需要 systemtap 2.1+ 和 perl 5.6.1+ 及以上的版本,可yum安装更新。另外,如果你不是从源码编译的 NGINX,你需要保证你的 NGINX 和其他依赖组件的 (DWARF)调试信息已经打开了(或者单独安装了)。最后,你也需要安装 kernel debug symbols 和 kernel headers。通.原创 2022-02-22 09:25:55 · 892 阅读 · 0 评论 -
甲方企业采购WAF需求及功能清单
甲方企业采购WAF功能及需求列表原创 2022-02-11 09:27:21 · 1468 阅读 · 0 评论 -
owasp core rules sets规则集深度分析与测试
对使用者而言,考察一款WAF的有效性,最关键的一点就是攻击的防御情况,我们看看ModSecurity对漏洞防御的checklist扫描器scanner恶意爬虫crawlerwebshell(Trojans) shell上传:见文件上传 shell连接:get/post/cookieSQLi/BlindSQLI(ReflectedSQLi,StoredSQLi) GET POST Refer...原创 2022-01-06 12:34:36 · 2890 阅读 · 0 评论 -
waf(web安全防火墙)主要功能点
注入攻击SQL注入防护:阻止恶意SQL代码在网站服务器上执行。命令注入防护:阻止攻击者利用网站漏洞直接执行系统命令。XPATH注入防护:阻止攻击者构造恶意输入数据,形成XML文件实施注入。LDAP注入防护:阻止攻击者将网站输入的参数引入LDAP查询实施注入。SSI注入防护:阻止攻击者将SSI命令在服务端执行,主要发生在.shtml,.shtm,.stm文件。缓冲区溢出防护:阻止请求中填入超过缓冲区容量的数据,防止恶意代码被执行。HPP攻击防护:阻止攻击者利用HPP漏洞来发起注入...原创 2022-01-04 10:39:20 · 3565 阅读 · 0 评论 -
nginx lua针对请求编码绕过进行解码防护
local _M = {}local base = require "owasp.base"local hdec = require "resty.htmlentities"local ffi = require "ffi"local logger = require "owasp.log"local util = require "owasp.util"local Util = require "util"require "resty.core.regex"req.原创 2021-12-01 09:37:05 · 662 阅读 · 0 评论 -
waf入门到bypass
Web应用程序防火墙是位于Web应用程序与客户端端点之间的安全策略实施点。该功能可以用软件或硬件,在设备设备中运行或在运行通用操作系统的典型服务器中实现。它可以是独立设备,也可以集成到其他网络组件中。 对于WAF,你了解多少?需要这篇文章能对你有所帮助!0X00 介绍WAF如何工作:使用一组规则来区分正常请求和恶意请求。 学习模式通过了解用户行为自动添加规则 。WAF如何防御:负面模型(基于黑名单)-黑名单模型使用预设的签名来阻止显然是恶意的Web流量,并使用签名来防止利用某些网站和.原创 2021-08-09 11:46:11 · 1202 阅读 · 0 评论 -
如何打造一款优秀的waf产品(4)
waf核心优化功能点对于网络设备来说管理是一个重要的部分,尤其对于安全设备来说,因为业务 需要的不停变化需要对设备不停的进行设置。从这个角度来说,WAF的管理模块必须满足策略更新的需求,同时管理模块的设计和实现上需要格外小心, 保证不会影响吞吐量和可用性。下面是关系 到WAF管理模块的几个方面,我们对其进行了分类,以便区分不同的管理需求,这可以从一个较高的抽象层次来对WAF进行评价,而...原创 2020-03-15 12:30:44 · 515 阅读 · 0 评论 -
如何打造一款优秀的waf产品(3)
唯一的事务ID为每一个HTTP事务(一个事务定义为一个请求和其相应的响应)分配一个唯一的ID并在包括在日志信息里面。access访问日志访问日志是指对通过WAF的所有事务的记录。访问日志通常是文件的形式、数据库。1. 访问日志可以导出至文件。2. 支持常用的日志格式3. 访问日志的格式可以定制。4. 访问日志是否可以发送至Syslog服务器。5. 访问日志是否...原创 2020-03-15 12:29:02 · 150 阅读 · 0 评论 -
如何打造一款优秀的waf产品(2)
Web系统通常和其他相关系统一同使用(如数据库系统等)。这就使得攻击者将攻击行为伪装成一种看上去无害的形式(譬如通过编码变换)提交进来以攻击后台的其他系统。由于后台系统的种类繁多,WAF必须识别出针对这些系统的攻击,这为WAF的开发带来了很大的难处,为了使WAF的规则可以有效的抵御这些攻击,WAF必须发现出这些攻击并将变换的输入数据还原成正常的数据。请描述该 WAF是否支持以下的数据还原方法:...原创 2020-03-15 12:26:59 · 311 阅读 · 0 评论 -
如何打造一款优秀的waf产品(1)
web应用所面临的威胁 恶意爬虫核心文本、商品价格等被爬取。短信接口被刷短信业务被轰炸,流量费蹭蹭上涨。网页防串改、文件上传、owasp漏洞。OWASP十大漏洞:注射破坏的身份验证和会话管理敏感数据曝光XML外部实体(XXE)损坏的访问控制安全性错误配置跨站点脚本(XSS)不安全的反序列化使用具有已知漏洞的组件记录和监测不...原创 2020-03-14 15:04:18 · 225 阅读 · 0 评论 -
如何打造一款优秀的waf产品(5)
管理接口是否为管理使用一个独立的网络接口从而提供一个独立管理通道是否支持双因素认 证?都是哪些因素?7.5.4 后台控制APIWAF是 否提供了后台控制的API使得后台受保护的程序可以利用其操纵WAF进行某些操作(如:终止用户会话, 阻断某个IP或限制登录尝试等)?WAF 自身安全WAF如何保证自身安全,使用了什么操作系统定期的打补丁,补丁升级是否是自动,WAF...原创 2020-03-15 12:34:32 · 262 阅读 · 0 评论 -
如何打造一款优秀的waf产品(6)
cms漏洞的批量检测云平台WAF要求能够对http请求方法进行白名单配置,可以配置只允许的请求方法。但不允许包含可能触发跨站的富文本标签通过。Java反序列化攻击Struts2/XWork远程命令执行云平台WAF支持会话频繁交易限制云平台WAF支持敏感信息隐藏、云平台WAF要支持对多种不同编码的识别和解码,包括Base64、URL Encoding、HTML Entities、Hex Encoding等编解码方式。SQL注入混淆攻击、XSS混淆攻击、文件上传混淆攻击、PHP.原创 2021-08-09 11:20:25 · 139 阅读 · 0 评论 -
waf日志分析解决方案
首先是来自于外部搜集的规则以及我们内部整理的规则,这是一个初始来源。我们会将规则动态加载到一个基于storm的实时计算流量的框架,相当于做一个只检测不拦截的测试。通过把报警日志做离线分析后,统计出其中的漏报误报,对偏差较大的规则进行修改优化后,加入到规则中,这样就形成了一个闭环。在运营维护过程中,不断的去优化规则。通过长时间的观察和经验,我们发现误报的日志在一些特征值上有着明显的区别,比如该IP距离上次请求的时间间隔会比较大。那么根据我们提取出来的规则,我们会整理一份训练...原创 2021-06-09 23:07:00 · 1469 阅读 · 4 评论 -
web安全防护的一些方法
使用不同的CSRF防御策略。• 登陆CSRF。我们建议使用严格的Referer验证策略来防御登陆CSRF,因为登陆的表单一般都是通过HTTPS发送,在合法请求里面的Referer都是真实可靠的。如果碰到没有Referer字段的登陆请求,那么网站应该直接拒绝以防御这种恶意的修改。• HTTPS。对于那些专门使用HTTPS协议的网站,比如银行类,我们也建议使用严格的Referer验证策略来防御CSRF攻击。对于那些有特定跨站需求的请求,网站应该建立一份白名单,比如主页等。• 第三方...原创 2021-06-03 14:36:16 · 1139 阅读 · 0 评论 -
网页缓存防篡改的实现
简介使用网站防篡改对指定的敏感页面设置缓存,缓存后即使源站页面内容被恶意篡改,WAF也会向访问者返回预先缓存好的页面内容,确保用户看到正确的页面。启用网页防篡改、敏感信息防泄露开关,才能使用该功能。填写精确的要防护的路径,可以防护该路径下的text、html和图片等内容。缓存用户配置的url的页面,到openresty。每次处理用户请求,从nginx缓存获取页面。配置的url页面在nginx.conf--->http--->server--->local,...原创 2020-12-11 10:10:55 · 842 阅读 · 0 评论 -
waf针对用户请求/上传内容编解码操作
针对http get请求的url参数(query string)解码过滤。也可以针对http post上传内容进行解码过滤。 base64_decode = function(value) if not value then return end --判断是否是base64编码 --if ngx_re_match(value,"^([A-Za-z0-9+/]{4})*([A-Za-z0-9+/]{4}|[A-Za-z0-9+/]{3}=|[A-Za-原创 2020-11-29 00:28:58 · 490 阅读 · 0 评论 -
基于卷积神经网络的SQL注入检测
本文结合自然语言处理技术,采用卷积神经网络算法训练SQL注入检测模型,主要包括文本处理、提取文本向量和训练检测模型三个部分。由于本人是初学者,也是通过前辈们的文章来学习这方面的知识,很多地方可能理解不够充分,请大家及时纠正。二、训练数据实验过程中的数据集主要分为三组训练集(用于训练检测模型的数据)、验证集(训练过程中验证模型的准确率)、测试集(测试训练完成后模型的准确率)。训练集中正常样本24500条,SQL注入攻击样本25527条,XSS攻击样本25112条;验证集中正常样本10000条,SQ原创 2020-11-28 23:36:49 · 1503 阅读 · 1 评论