干货!常见waf识别

最新推荐文章于 2024-07-24 13:10:28 发布
最新推荐文章于 2024-07-24 13:10:28 发布
阅读量3.5k 收藏 25
点赞数 3
分类专栏: 信息安全 文章标签: 网络安全 信息安全 kali linux
原文链接:https://mp.weixin.qq.com/s/PWkqNsygi-c_S7tW1y_Hxw
版权

公粽号:黒掌
一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主!

WAF可分为许多种,从产品形态上来划分,可以大致分为三类:

1、硬件设备类

目前安全市场上,大多数的 WAF都属于此类。它们以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等厂商生产的WAF都属于此类。

2、软件产品类

这种类型的 WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,因为它必须安装在Web应用服务器上,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、 网站安全 狗等。

3、基于云的WAF

随着云计算技术的快速发展,使得其于云的 WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝, imperva waf 是这类 WAF 的典型代表。
Web应用防火墙技术,一般均采用反向代理技术和虚拟主机技术原理,其工作流程是,将受保护的Web服务器建立虚拟主机,对每一个虚拟主机提供相应的安全策略来进行保护。同时把Web应用防火墙配置为反向代理服务器,用于代理Web服务器对外部网络的连接请求。当Web应用防火墙能够代理外部网络上的主机访问内部Web服务器的时候,Web应用防火墙对外就表现为一个Web服务器。它负责把外部网络上的请求转发给内部的应用服务器,然后再把内部响应的数据返回给外部网络。Web应用防火墙没有保存任何内部服务器的真实数据,所有的静态网页或者CGI程序,都保存在内部的Web服务器上。因此对Web应用防火墙的攻击并不会使得网页信息遭到破坏,这样就增强了Web服务器的安全性。

waf识别:

D盾:

image-20210709112108242

云锁:

image-20210709112130345

UPUPW安全防护:

image-20210709112143115

宝塔网站防火墙:

image-20210709112154632

网防G01:

image-20210709112209836

护卫神:

image-20210709112227158

安全狗:

image-20210709112238761

智创防火墙:

image-20210709112250719

360主机卫士或360webscan:

image-20210709112306424

西数WTS-WAF:

image-20210709112315864

Naxsi WAF:

image-20210709112326474

腾讯云:

image-20210709112337346

腾讯宙斯盾:

image-20210709112346013

百度云:

image-20210709112356992

华为云:

image-20210709112407155

网宿云:

image-20210709112418476

创宇盾:

image-20210709112432538

1623917239_60cb02b767bc978d7cbe3.png!small?1623917239887

扫码领取黑客大礼包

今天的分享就到这里,喜欢的小伙伴记得一键三连,我有一个公粽号【黒掌】, 可以免费获取更多黑客秘籍,欢迎来耍!

是叶十三
关注
专栏目录
WAF介绍及功能
Matheus的博客
08-01 6121
WAF介绍 WAF(Web Application Firewall,Web应用防火墙)及与其相关的知识,这里利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。 WAF基本上可以分为以下几类: 1.软件型WAF 以软件形式装在所保护的服务器上,直接检测服务器上是否存在webshell,是否有文件被创建等 2.硬件型WAF 在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。 3.云
自用护w面试题
Zephyr_Misaka的博客
06-01 1079
21-FTP 看是否存在匿名访问22-SSH 看是否存在弱口令25-SMTP80-HTTP 常见web漏洞443-HTTPS openSSl心脏出血漏洞445-smb ms08-067、 ms17-0101433-mssql 弱口令1521-oracle, 弱口令3306-mysql 数据库的默认端口3389-windows远程桌面 弱口令7001-weblogic的默认端口 8080-tomcat漏洞应用层:为应用程序提供网络服务表示层:数据格式化、加密、解密会话层:建立、管理和维护会话连接传输层:建立
常见WAF拦截页面总结
YJ_12340的博客
07-10 302
(9) 360主机卫士或360webscan。(24) 长亭SafeLine。(10) 西数WTS-WAF。(3) UPUPW安全防护。(20) 360网站卫士。(21) 奇安信网站卫士。(25) 安恒明御WAF。(4) 宝塔网站防火墙。(22) 安域云WAF。(30) 未知云WAF。(13) 腾讯宙斯盾。(23) 铱讯WAF
Web渗透-WAF绕过技巧
最新发布
Varin
07-24 1187
Web应用防火墙(WAF)绕过是指黑客采用特定技术或策略,规避WAF的检测和防御机制,以对后端Web应用实施攻击。常见手法包括使用编码技巧(如URL编码、Base64编码)改变攻击载荷的呈现形式;利用WAF未过滤的HTTP方法或不常见的字符集;以及通过慢速攻击、分布式请求等方式避免触发阈值规则。攻击者还可能分析WAF的响应模式,通过微调输入来躲避特征匹配。WAF绕过的成功实施可使恶意活动直接威胁到网站的安全性与稳定性。
WAF
JPshangdexiaofeixia的博客
01-08 3472
Web应用防护系统又叫做WAF。按照国际公认的说法,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的网站安全策略来专门为Web应用提供保护的一款产品。随着web的内容与应用越来越丰富,信息量与价值量越来越高,web被入侵和篡改的事件和频率也增多。这就需要专门的web防火墙或是防护系统来维护网站的安全。 WAF可分为许多种,从产品形态上来划分,可以大致分为三类: 1.1硬件设备
WAF识别、检测、绕过原理与实战案例
2301_81250923的博客
11-30 2348
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
WAF识别
siu~
06-30 872
Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。
信息打点web篇--端口扫描-waf识别-蜜罐识别
2302_79590880的博客
07-09 1118
端口扫描,waf识别,蜜罐识别
漏洞挖掘之信息搜集(一)
qq_64775230的博客
07-11 1037
这是信息搜集的第一篇,接下来我会逐步更新,包括部分漏洞原理,由于本人精力有限,所以该文章设置为vip可见
干货】XSS知识总结
hackzkaq的博客
10-27 6707
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
(最全干货分享)渗透测试全流程归纳总结之三
深入交流学习:webMsec
04-19 457
0x01 主动探测 从管理员和用户的角度了解整个WEB应用乃至整个目标的全貌,主动探测会暴露ip以及留下日志信息,所以要… 1.主动扫描 1.1常见服务漏洞 nmap的功能:     脚本扫描,隐蔽扫描,端口扫描,服务识别,OS识别,探测WAF   nmap脚本主要分为以下几类,在扫描时可根据需要设置   --script=类别这种方式进行比较笼统的扫描: auth: 负责处理鉴权证书(绕开鉴权)的脚本     broadcast: 在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服
Python-Wafid识别和指纹Web应用防火墙WAF产品
08-10
Wafid识别和指纹Web应用防火墙(WAF)产品
干货 | DevSecOps在携程的最佳实践
携程技术
07-09 1543
作者简介Living,携程高级基础安全工程师,关注应用安全、渗透测试方面的技术。一、DevSecOps面临的挑战作为业务覆盖机票、酒店、度假、汽车票、火车票、支付等各个方面,为全球用户...
信息收集—WAF指纹识别
m0_52903527的博客
06-09 427
WAF的定义应用防火墙(Web Application Firewall Web)过滤HTTP或者HTTPS的请求,识别并拦截恶意 的请求WAF的类型硬件型WAFWAF软件型WAF
Waf识别工具和83个Waf拦截页面
crowsec
01-27 4909
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF是什么东西?!--- 2 waf识别
WM_NNXX的博客
08-09 1716
首先我们需要知道waf的种类,已经出现的waf的产品,这部分东西,可以看下这个链接: https://www.freebuf.com/articles/web/115407.html 可能文章有点旧,大概了解下吧 我自己知道的waf比较少,安全狗啊,云盾啊,额好像就知道两个,哈哈哈!!! 每天被自己菜醒,哈哈哈,草,好好学习! ** 识别WAF ** WAF指纹:WAF开发人员使用不同的方法通知用...
Waf原理与识别
weixin_34310369的博客
06-10 1094
基于Cookie值 CitrixNetscaler(2013年使用广泛) “CitrixNetscaler”会在HTTP返回头部Cookie位置加入“ns_af”的值,可以以此判断为CitrixNetscaler的WAF,国内此类WAF很少 1 GET / HTTP/1.1 2 Host: target.com 3 User-Agent: Mozilla/5.0 (Windo...
WAF的几种划分方法和划分类型
cj9700的博客
12-11 1127
WAF可分为许多种,从产品形态上来划分,可以大致分为三类: 1.1硬件设备类 目前安全市场上,大多数的 WAF都属于此类。...
常见WAF_WEB应用防火墙_运维必备_应用安全
yfx000的专栏
12-16 1023
排名无先后,只做汇总统计,方便各位管理服务器安全 1 ShareWAF 有 http://www.sharewaf.com/ 2GOODWAF 免费云WEB应用防火墙,全面防御web/SQL/XSS/0day/爬虫等攻击,具备防篡改,防数据泄露,防盗链等功能,终身免费使用,保护企业web业务安全 https://www.goodwaf.cn/ 3ModSecurity http://www.modsecurity.cn/ ModSecurity是目前世界上使用最多的开源WA...
waf 防御常见问题
06-20
WAF(Web Application Firewall)是一种用于保护Web应用程序的安全设备。它可以拦截和检测Web应用程序中的恶意流量,从而保护Web应用程序免受各种攻击。 以下是WAF防御常见问题: 1. SQL注入:攻击者通过在Web应用程序中输入恶意SQL语句来访问或修改数据库。WAF可以检测和阻止此类攻击。 2. 跨站点脚本(XSS)攻击:攻击者通过在Web应用程序中注入恶意脚本来攻击用户。WAF可以检测和阻止此类攻击。 3. CSRF攻击:攻击者利用用户在Web应用程序中的会话来执行恶意操作。WAF可以检测和阻止此类攻击。 4. 文件上传漏洞:攻击者通过上传恶意文件来攻击Web应用程序。WAF可以检测和阻止此类攻击。 5. 命令注入攻击:攻击者通过在Web应用程序中输入恶意命令来执行未经授权的操作。WAF可以检测和阻止此类攻击。 总的来说,WAF可以防御许多Web应用程序安全问题,但是它也有一些限制,因此应该与其他安全措施一起使用来提高Web应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值