HTTP -- WAF

最新推荐文章于 2024-04-03 10:02:14 发布
最新推荐文章于 2024-04-03 10:02:14 发布
阅读量885 收藏 1
点赞数
分类专栏: HTTP 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42413454/article/details/109551380
版权

Http -- WAF

1,几种Web攻击
DDoS(洪水攻击):黑客控制许多“僵尸”计算机,向目标服务器发起大量无效请求。服务器无法区分正常用户和黑客,挤占正常用户应有资源。攻击强度大像“洪水”一样对网站的服务能力造成冲击,耗尽带宽、CPU 和内存,导致网站完全无法提供正常服务
SQL注入:字符串拼接形成 SQL 语句的漏洞,构造出非正常的 SQL 语句,获取数据库内部的敏感信息。
HTTP头注入:在“Host”“User-Agent”“X-Forwarded-For”等字段里加入了恶意数据或代码,服务端程序如果解析不当,就会执行预设的恶意代码。
XSS(跨站脚本伪造):JS 代码注入,利用 JavaScript 脚本获取未设防的 Cookie
2,WAF
WAF(Web Application Firewall):网络应用防火墙,HTTP 入侵检测和防御系统,工作在七层,为 Web 服务提供全面的防护;
ModSecurity 是一个开源的、生产级的 WAF 产品,核心组成部分是“规则引擎”和“规则集”,两者的关系有点像杀毒引擎和病毒特征库;
WAF 实质上是模式匹配与数据过滤,所以会消耗 CPU,增加一些计算成本,降低服务能力,使用时需要在安全与性能之间找到一个“平衡点”
2.1 WAF功能
IP 黑名单和白名单,拒绝黑名单上地址的访问,或者只允许白名单上的用户访问;
URI 黑名单和白名单,与 IP 黑白名单类似,允许或禁止对某些 URI 的访问;
防护 DDoS 攻击,对特定的 IP 地址限连限速;
过滤请求报文,防御“代码注入”攻击;
过滤响应报文,防御敏感信息外泄;
审计日志,记录所有检测到的入侵操作。
2.2 WAF实现原理
如同编码接口做的入参校验
拿到 HTTP 请求、响应报文,用字符串处理函数看看有没有关键字、敏感词,或者用正则表达式做一下模式匹配,命中了规则就执行对应的动作,比如返回 403/404。

注 :如有不当之处,联系侵删。文章节选自极客时间–透视HTTP协议

neei
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
waf-master上层工具
08-16
配合gstreamer-imx安装,gstreamerm -imx是一套gstreamer 1.0 imx6视频插件,主要由Carlos Giani a.k开发。dv_(伟大的工作!)一旦稳定,这些插件“希望”将取代飞思卡尔BSP gstreamer 0.10插件,这些插件显示了...
HTTPWAF之浅尝辄止
小王的储物间
02-03 594
最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF挑战赛回忆录》,就啪啪打脸了。说来惭愧,最近一段时间,拿到offer就开始飘起来了,现在悔不当初,于是就想写一篇关于这篇Http首部字段文章的"训诂篇"出来,一来当做知识巩固,二来算是完善些和首部字段相关的知识点(可会因为见识不足,导致遗漏)。毕竟,小白可能这方面了解不多,只了解Cookie和Agent这种常见类型的首部字段,却很少听过Accept-
WAF HTTP协议覆盖+分块传输组合绕过
LuckySec
03-02 6494
0x01 HTTP协议覆盖介绍 HTTP协议覆盖绕过是更换Content-Type类型来绕过WAF的检测,⽬前很多WAF对Content-type类型是⾸要的检测点。利用【multipart/form-data】协议的⽅法,更改Content-type的类型为【multipart/form-data】和构造【multipart/form-data】请求内容,当WAF没有规则匹配该协议传输的数据时可被绕过。 Content-Type(MediaType),即是Internet Media Type,互联网媒体
探索HTTPWAF 2.0:智能Web应用防火墙的新纪元
最新发布
gitblog_00050的博客
04-03 402
探索HTTPWAF 2.0:智能Web应用防火墙的新纪元 项目地址:https://gitcode.com/httpwaf/httpwaf2.0 在网络安全日益重要的今天,HTTPWAF 2.0应运而生,为保护您的Web应用程序提供了强大的盾牌。它是一个开源的Web应用防火墙,旨在预防SQL注入、XSS攻击等常见网络威胁,确保您的在线业务安全无虞。 项目简介 HTTPWAF 2.0 是一个基于Go...
web渗透测试中WAF绕过讲解(二)基于HTTP协议绕过
ZDH5362的博客
08-20 536
0x01 前言 在讲本课的内容之前我们先来了解互联网中的HTTP是什么? 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人Ted Nelson构思了一种通过...
WAF安装与绕过
songbai220
12-11 2956
WAF安装与绕过 WAF简介 网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。 WAF主要功能 网马木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 流量监控 能够实时监测到每个网站的进出流量
利用http协议绕过waf
tomyyyyy
10-28 394
利用http协议绕过waf 目录利用http协议绕过waf分块传输绕过waf畸形包绕过协议覆盖分块传输绕过waf 先在数据包中添加Transfer-Encoding: chunked 数字代表下一列字符所占位数,最后需要用0独占一行表示结束,结尾需要两个回车 在头部加入 Transfer-Encoding: chunked 之后,就代表这个报文采用了分块编码。这时,post请求报文中的数据部...
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
lua-resty-waf:基于OpenResty堆栈的高性能WAF
aws-waf-owasp
10-16
aws-waf-owasp,是云上的OWASP的安全防护建设指导手册,可以帮助云上用户快速启用Web安全防护策略,结合实际业务和流量深度订制WAF策略
WAF-nginx
07-03
用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽常见的扫描黑客工具,扫描器 屏蔽异常的网络请求 ...
terraform-aws-waf-global
03-12
terraform-aws-waf-global Terraform模块-创建全局WAF。 它是100%开源的,并根据许可。用法这只是一个基本说明。 将此存储库作为模块包含在现有Terraform代码中: module " waf-global " { source = " ...
【Web安全】绕过WAF过滤-利用cookie进行SQL注入
李响
03-21 870
文章目录1 靶场分析1.1 找到可能与数据库交互的模块1.2 尝试注入2 GET,POST传值3 ModHeader绕WAF 1 靶场分析 1.1 找到可能与数据库交互的模块 HERE 进入网站,我们点击一条新闻,因为一般新闻页面的功能都是与数据库进行交互的。 我们可以得知,是网站下的shownews.asp这个ASP动态网页文件,与数据库进行交互,并查询出了第171篇(id=171)新闻内容的值...
2. Apache 安装 WAF
huanghuitan的博客
08-19 1269
Apache安全防护WAF,安装配置mod_security模块 在不改动现有系统任何代码的前提下,防止SQL注入 比如下面这个场景:服务器中难免有些安全性比较差的程序,或者某个程序在SQL处理上,没有使用参数查询,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。 安装配置 http://www.apachelounge.com/download/ 首先安装好Apache 2.4 和相应版本mod_security 解压后,里面有两个文件夹
HTTP -- 网络分层
neei的博客
11-04 5131
Http -- 网络分层1,网络四层2,网络七层(OSI网络分层模型)3,四VS七4,TCP/IP协议栈的工作方式 1,网络四层 link layer(链接层):负责在以太网、WiFi这样的底层网络上发送原始数据包,工作在网卡这个层次,使用MAC地址来标记网络上的设备,也叫MAC层 ,传输单位 :帧(frame) internet layer(网络互连层):IP协议就处在这一层。因为IP协议定义了“IP地址”的概念,在“链接层”的基础上,用IP地址取代MAC地址,把局域网、广域网连接成一个虚拟的巨大网络
HTTP -- http与s
neei的博客
11-07 1145
Http -- http与s1,通信安全2,HTTPS3,加密3.1 SSL/TLS3.2 摘要算法3.3 对称加密3.4 非对称加密(公钥加密算法)3.5 混合加密4,数字签名与证书 1,通信安全 通信过程“安全”的四个特性:机密性、完整性,身份认证和不可否认。 机密性(Secrecy/Confidentiality)对数据“保密”,只能由可信的人访问,对其他人是不可见,用的Wireshark ,利用了HTTP的这个特点,捕获了传输过程中的所有数据 完整性(Integrity一致性)数据在传输过程中没有
HTTP -- 握手连接
neei的博客
11-07 652
Http -- 握手连接1,TLS协议2,TLS版本1.22.1 TLS握手过程2.2 ECDHE握手过程2.3 RSA握手过程2.4 双向认证3,TLS版本1.33.1 TLS握手过程3.2 握手分析4,HTTPS优化 1,TLS协议 TLS由几个不同职责的模块组成,常用有记录协议、警报协议、握手协议、变更密码规范协议等。 记录协议(Record Protocol)规定了TLS收发数据的基本单位:记录(record)。像TCP的segment,其他子协议需通过记录协议发出。但多个记录数据可以在一个TCP
HTTP -- 报文
neei的博客
11-04 163
Http -- 报文1,报文结构1.1 请求行(请求报文里的起始行)1.2 状态行(响应报文里的起始行)1.3 头部字段1.4 常用头字段2,请求方法2.1 八种方法2.2 安全与幂等 1,报文结构 HTTP协议的请求报文和响应报文的结构基本相同: 1. 起始行(start line):描述请求或响应的基本信息 2. 头部字段集合(header):使用key-value形式更详细的说明报文 3. 消息正文(entity):实际传输的数据,它不一定是纯文本,可以是图片、视频等二进制数据 4. HTTP协议必须
HTTP -- 周边
neei的博客
11-03 161
Http -- 周边1,相关概念1.1 浏览器1.2 web服务器1.3 CDN1.4 爬虫1.5 HTML/WebService/WAF2,各种协议2.1 TCP/IP2.2 DNS2.3 URI/URL2.4 HTTPS2.5 代理 1,相关概念 1.1 浏览器 浏览器本质上是一个HTTP协议中的 请求方,使用HTTP协议获取网络上的各种资源。HTTP协议里,浏览器的角色被称为“User Agent”(用户代理),作为访问者的“代理”来发起HTTP请求 1.2 web服务器 与浏览器对应,web服务
DDos-deflate如何联动WAF
03-31
DDoS-deflate和WAF可以通过以下几种方式联动: 1. 在WAF中设置DDoS-deflate的防护规则,当WAF检测到DDoS攻击流量时,自动触发DDoS-deflate的防护功能,对攻击流量进行防护。 2. 在DDoS-deflate中设置WAF的白名单,将WAF的IP地址或域名添加到白名单中,确保WAF不会被DDoS-deflate误认为是攻击目标,同时WAF也可以在白名单中设置DDoS-deflate的IP地址或域名,互相保护。 3. 在WAF和DDoS-deflate中设置联动告警机制,当发生攻击事件时,双方可以通过API或webhook等方式进行告警联动,及时发现和处理攻击事件。 综上所述,DDoS-deflate和WAF可以通过设置防护规则、白名单和告警机制等方式进行联动,提高整体安全防护能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值