0907架构搭建WAF

已于 2022-09-20 21:55:37 修改
阅读量578 收藏 1
点赞数
文章标签: 安全
于 2022-09-07 17:07:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44418203/article/details/126749909
版权

有WEB

有CDN :绕过,在接下面无CDN情况

绕过方法接上篇

国外请求、接口查询、黑暗引擎、扫描全网、子域名

无CDN

程序源码(接入门思路)

内部/未知CMS

开源CMS

其他(树立简要思路)

操作系统
搭建平台
数据库类型

站点搭建(目标多机会大)

目录站点
端口站点
子域名站点
旁注/C段站点
类似域名站点
......

防护应用WAF(防止破墙)

安全狗
宝塔(搭建环境自带防护)
云盾
安骑士
......

有APP(区分测试方法)

涉及WEB(接上面)

非WEB协议

尝试提取(工具、抓包)
反编译逆向
仍无WEB转其他(下面)

其他(即无app也无web)

资产信息(侧门信息)

以上各种平台信息
whois备案等
GitHub等监控

第三方应用(从这里入手)

数据库应用

mysql、mssql、oracle......

各种管理平台

weblogic、phpmyadmin......

各种第三方应用

vsftpd、nexus、git......

各种接口服务(发现更多未知的接口尝试)

存储服务、支付服务、内部服务......

微信公众号等,找更多的应用继续(发现更多未知的应用)

设计WEB、设计APP、涉及其他

内部群内部应用等 (社工或发现更多未知的应用)

QQ或微信群
工作群(钉钉...)
其他通讯群聊等

站点搭建分析(搭建习惯)

都处于同一服务器,寻找更多的破绽

目录型站点

eg:
sti.blcu /bbs
加了/bbs就换了个目录 两个网站可能不是一套源码,增加了一个cms可挖掘路径

端口类站点

端口扫描
80和8080端口访问的可能不是一类cms源码或不同应用

子域名站点

子域名不跟主域名一个ip,即不同的服务器
互相套敏感信息登录

类似域名站点

换域名,违法网站的居多 src挖掘漏洞
.com .cn .org ......

旁注,C段站点

旁注:同服务器,不同站点

多站点服务器
172.19.1.1
www.a.com
www.b.com
...
目标是b.com找不到漏洞,可以尝试找a的漏洞,在通过敏感信息挖掘b的漏洞

C段:同网段,不同服务器,不同站点

独立站点服务器

172.19.1.1
www.a.com
www.b.com
...

172.19.1.2
www.c.com
www.d.com
...

旁注还是解决不了时,找同网段的服务器,获取服务器权限后提权,内网获取权限后即可获取指定网段的服务器权限

搭建软件特征站点

server:写的很全的一般是搭建软件

phpstudy、inmap......
用软件搭建方便,但会有些问题 默认密码等
类似phpstudy会有phpadmin管理账号

WAF:应用防护系统(硬:防火墙、软件)

工具:用wafw00f探测是哪款WAF防护工具

人工:可能会直接有waf信息

 

若有waf防护不能直接用工具扫,可能会封禁访问不了了

是真难受啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从无到有搭建中小型互联网公司后台服务架构与运维架构(龙果学院)最新源码
12-25
总的来说,这个视频教程应该会涵盖如何使用Spring、Spring Boot和Dubbo等技术搭建后台服务,以及如何构建相应的运维架构,包括服务治理、自动化部署、监控和安全措施。通过学习,开发者可以掌握一套完整的后台服务...
亿级流量网站架构核心技术+跟开涛学搭建高可用高并发系统
01-11
总的来说,“亿级流量网站架构核心技术+跟开涛学搭建高可用高并发系统”涵盖了从架构设计到实际操作的全过程,旨在帮助开发者和运维人员掌握应对大规模流量的策略和技术,构建高效、可靠的互联网服务。通过学习和...
8.架构搭建WAF
博客地址 www.sec0nd.top
07-22 346
文章目录前言知识点CMS 识别技术源码获取技术架构信息获取站点搭建分析搭建习惯-目录型站点搭建习惯-端口类站点搭建习惯-子域名站点搭建习惯-类似域名站点搭建习惯-旁注,C 段站点搭建习惯-搭建软件特征站点WAF 防护分析什么是 WAF 应用?如何快速识别 WAF?识别 WAF 对于安全测试的意义? 前言 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响 到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定 着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路 就是从
搭建简单的云waf
weixin_33965305的博客
11-16 722
看我如何搭建一款方便易用的云WAF前言当前市面上各种云WAF,主要作用有两个一个是CDN加速,另一个就是做云防护,原理大概就是把域名IP解析权移交WAF提供商,通过他们访问回目标服务器ip,可以隐藏服务器的真实IP。环境:Ubuntu 16.04.1 LTSMysqlNgnix我们使用的是这款云WAFhttps://waf.xsec.io/https://github.com...
开源Rachel WAF应用防火墙安装及使用
最新发布
RACHEL的博客
05-20 895
开源Rachel WAF应用防火墙
5、信息收集--站点搭建WAF
qq_44704184的博客
03-25 4799
信息收集 信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务 一、源码与其他在这里 二、站点搭建 1、 目录类站点 原则是一个网站,但区别在于目录下的差异 例如:D:\phpStudy\PHPTutorial\WWW\DVWA-master 和 D:\phpStudy\PHPT
靶场waf搭建
willing-sir的博客
01-26 206
靶场waf搭建 这里应朋友的要求写一篇关于waf搭建的教程。这个搭建过程其实并不复杂,但是过程中还是碰到了一些细小的问题。 搭建准备:phpstudy,V4版的安全狗 官网下载网站安全狗Apache版,这里我下的是Windows 搭建安全狗的过程中最容易出问题的地方首先就是会一直提醒没有apache服务,这里我们要把这个安全狗安装到Apache套件所在的文件位置,在此之前要做的是进入到phpst...
php waf 搭建,开源WAF搭建
weixin_42212965的博客
04-15 1041
ModSecurity在Ubuntu和Nginx上安装,nginx版本为1.14.0。安装需要包下载编译ModSecurity 3.0源代码进入目录运行编译如果出现fatal: No names found, cannot describe anything.,是可以忽略的。ModSecurity连接器下载连接器代码根据已安装的nginx版本安装需要的nginx原代码需要把连接器编译为动态模块到n...
大型网站架构
04-18
"51CTO下载-搭建一个大型网站架构的实验环境(集成篇).pdf"文档可能包含了这些概念的具体实践步骤和案例,对于深入理解这些知识点非常有帮助。阅读这份文档将有助于你构建一个完整的大型网站架构的视角。
亿级流量网站架构核心技术 跟开涛学搭建高可用高并发系统
04-29
《亿级流量网站架构核心技术——跟开涛学搭建高可用高并发系统》是一本深入探讨如何构建能够处理大规模用户访问的互联网系统的技术书籍。在现代互联网行业中,面对日益增长的用户需求和流量压力,设计出高可用、高...
互联网基础系统架构运维之路.pdf
10-14
随着业务的发展,到了2012年至2014年的“石器时代”,魅族开始搭建云平台,采用VMware虚拟化技术,并逐渐引入自动化运维工具,如Nagios和Cacti,以及通过Excel进行资产管理。然而,这一阶段也面临着机房资源不足、...
WAF架构设想
大西瓜的博客
11-05 3760
WAF架构设想 1、网络入口处通过ip route做负载均衡,将流量分发到四张物理网卡。 2、另外四张BYPASS网卡组成透明网桥,连接hub与被防护站点。 3、流量进入通过通过iptables将流量转到NGINX。 4、WAF网关(SPRINGBOOT)通过docker部署,NGINX将流量负载到4个服务上。 5、WAF网关(WAF-RULES)校验流量是否有攻击行为。 6、KAFKA ...
Ubuntu Apache搭建modSecurity,创建自己的WAF
wang010366的专栏
08-14 2051
安装apache2安装命令:sudo apt-get install apache2 启动/停止/重启apache2: service apache2 start/stop/restart安装modSecurity第一步:安装libapache2-modsecurity模块及其依赖包apt-get install libxml2 libxml2-dev libxml2-utils libaprut
WEB学习第八天:信息收集_架构搭建WAF
weixin_43171447的博客
04-23 2544
1 相关知识点 1.1 站点搭建 ①目录站点 网站添加目录下装载了新的程序,任一程序出现问题,都会影响到整个网站 ②端口站点 同一台服务器上,不同端口对应不同网站,任何一个端口出现安全问题,都会影响其他站点。 ③子域名站点 子域名使用了不同搭建程序 ④旁注/C段站点 ⑤类似域名站点 1.2 WAF防护分析 1.什么是WAF 2.如何快速识别WAF 2 实验内容 2.1 sti.blcu-bbs 目录型站点分析 2.2 web.0516jz-8080
nginx+lua搭建网站waf
molaifeng的专栏
12-05 2162
WAF,英文名称Web Application Firewall,中文叫做Web应用防护系统,也可以称为Web应用防火墙,可以抵御日常的sql注入、本地包含、CC攻击等,下面就介绍下nginx+lua的waf方案。安装Openrestycd /usr/local/ wget https://openresty.org/download/openresty-1.11.2.2.tar.gz tar xf
Nginx + Lua 搭建网站WAF防火墙
giun的博客
06-17 6435
Nginx + Lua 搭建网站WAF防火墙一、目的二、前期环境准备(一)、更新下yum源(二)、编译安装Nginx(三)、端口放行(四)、验证安装(五)、lua编译安装三、Nginx+Lua搭建WAF防火墙(一)、php环境配置(二)、克隆代码并将其移动到nginx/waf目录下(三)、进行必要配置(四)、验证四、总结 一、目的 利用centos -7 和Nginx + Lua 搭建网站WAF防火墙可以防御SQL、XSS等攻击。 二、前期环境准备 (一)、更新下yum源 这边使用的是centos-7的系统
搭建x-waf,测试体验web防护
yangyouchang的专栏
12-30 946
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费WAF
CentOS7雷池WAF基于Docker搭建部署_centos 部署waf(1),妈妈再也不用担心我的面试
2401_84160325的博客
04-09 886
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
了解waf,网站搭建习惯,架构
w18842156489的博客
05-25 173
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
cdn架构waf架构
09-26
根据引用和引用的描述,CDN架构通常是由CDN(入口层)、WAF(应用层防护)、SLB(负载层)和ECS(源站)组成的。CDN作为入口层,负责加速和缓存静态内容;WAF作为应用层防护,用于检测和拦截恶意攻击;SLB作为负载层,用于分发请求到不同的ECS实例;ECS作为源站,承载网站的业务逻辑和动态内容。整个架构保证了高可用性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值