【WAF绕过】---信息收集之反爬虫延时代理池技术---day46

最新推荐文章于 2024-08-24 18:26:29 发布
最新推荐文章于 2024-08-24 18:26:29 发布
阅读量1.1k 收藏
点赞数
文章标签: 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45807596/article/details/133096853
版权

【WAF绕过】---信息收集之反爬虫延时代理池技术---day46

一、思维导图

WAF拦截会出现在安全测试的各个层面,掌握各个层面的分析和绕过技术最为关键。

image-20210515200622869

二、演示案例

image-20210515212428875

1、Safedog-未开CC

CC就是DDOS攻击的一种,默认是不开启的。

判断有没有WAF可以直接在路径上报错显示。

①用目录扫描工具扫

image-20210515213342859

扫出来的目录全是假的。

使用抓取进程的抓包工具抓包

image-20210515213616322

可以很明显的看出不同,在请求方法上就不同。可以修改为Get方式。

image-20210515213649076

这回就没有误报了。

image-20210515213723003

2、Safedog-开启CC

image-20210515213845192

开启CC之后,再次使用工具,并且访问网站。

image-20210515213935607

访问速度过快了。可以设置延迟扫描。

image-20210515214035438

或者也可以通过爬虫的白名单来搞

image-20210515214404111

模拟搜索引擎请求头User-Agent就可以了。进行扫描

image-20210515214714962

发现没有任何的结果。

①使用python脚本来访问

image-20210515215148519

image-20210515215337880

php_b.txt是一个字典

抓包分析:

image-20210515215450289

如果不用自定义头:

image-20210515215557039

可以直接在脚本里使用爬虫引擎的请求头,效果很好。

image-20210515215849022

②代理池

image-20210515220116111

3、阿里云

阿里云-无法模拟搜索引擎爬虫绕过,只能采用代理池或者延时。

4、阿里云+宝塔付费安全服务

image-20210515221326227

通过延时来搞:

image-20210515222025306

宝塔里的日志:

image-20210515222052993

可以优化日志,因为宝塔检测出一分钟内访问敏感文件了。比如说code.php.bak 可以优化成code.php.bak .访问的还是原来的。

小高小高技术粗糙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第46天:WAF绕过-信息收集之反爬虫延时代理技术1
08-03
WAF 绕过-信息收集之反爬虫延时代理技术#简要本章具体内容和安排缘由#简要本课具体内容和讲课思路#简要本课简要知识点和具体说明演示案例:Safedog-默认
WAF绕过-信息收集之反爬虫延时代理 46
san3144393495的博客
10-13 593
老师用的阿里云的服务器,装了宝塔和安全狗,演示案例。
第47天:WAF绕过-漏洞发现之代理指纹被动探针1
08-03
1.扫描速度-(代理,延迟,白名单等) 2.工具指纹-(特征修改,伪造模拟真实用户等) 3.漏洞 Payload-(数据变异,数据加密,白名单等)
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
**lua-resty-waf简介** `lua-resty-waf`是一个高效的Web应用防火墙(WAF),它构建在OpenResty平台上,利用Lua语言的强大功能为Nginx提供动态的安全策略执行。OpenResty集成了Nginx与LuaJIT,使得我们可以编写高...
WAF-A-MoLE:基于ML的Web应用程序防火墙的基于变异的引导模糊器
05-08
给定一个输入SQL注入查询,它会尝试生成一个语义不变的查询,该查询能够绕过目标WAF。 您可以使用此工具通过让WAF-A-MoLE探索解决方案空间来找到目标分类器未发现的危险“盲点”,从而评估产品的耐用性。 建筑学 ...
awd-watchbird:适用于AWD的功能强大PHP WAF
03-19
请求参数(GET / POST)关键字特殊字符深度防御:响应检测/反向代理(默认将流量发送到本地服务器自检,可配置代理服务器IP和端口实现反代功能)响应flag检测并返回虚假flag基于LD_PRELOAD的指令执行保护基于open_...
Python爬虫案例二:获取虎牙主播图片(动态网站)
m0_74614835的博客
08-19 1295
params不能写在__init__()里面,因为__init__()只执行一次,params是变化的。'iPageNo': '{}'.format(i), # i是字符串。print('ok 第{}张--{}'.format(self.no, name))1.异步数据(即先返回HTML,再返回目标的数据,只是触发了JSON请求),不在HTML中。os.mkdir('../虎牙')测试链接:https://live.huya.com/# 构造7页的params。2.不能刷新网页,直接翻页。
分享一个基于文本挖掘的微博舆情分析系统Python网络舆情监控系统Flask爬虫项目大数据(源码、调试、LW、开题、PPT)
m0_72599287的博客
08-24 879
本系统的开发旨在构建一个高效的微博舆情分析与监控平台,帮助企业、政府及相关机构实时了解社交媒体上的舆情动态。通过Scrapy爬虫技术自动化地采集微博中与特定舆情相关的数据,并将其存储到MySQL数据库中,以便后续的数据处理和分析。系统还集成了大屏可视化分析功能,通过Echarts展示微博数据的多维度统计信息,如评论、分享、点赞数量以及发布城市和舆情数量等,帮助用户直观地掌握舆情分布和发展态势,为及时应对突发事件和优化决策提供数据支持。
搭建自己的金融数据源和量化分析平台(七):定时更新上市公司所属行业门类及大类
克格莫(有需要的私信)
08-23 214
由于此前从深交所下载的股票信息中只有行业门类信息,没有行业大类信息,导致后续解析三大报表和量化选股的时候无法进行:可以看到深交所的股票是没有大类信息的。再看看上交所的保险股:因此需要将深交所股票的所属大类信息也添加上。这里可以直接使用中国上市公司协会每隔一段时间发布的《上市公司行业分类结果》。目前最新版本是《2023年下半年上市公司行业分类结果》具体的解析逻辑不再赘述,分析一下HTML的格式就能把最新的pdf拿到手来解析。import os。
python爬虫:selenium+browsermobproxy实现浏览器请求抓取(模块安装详解)
最新发布
我是你大爷
08-24 193
为了抓取所有,通过浏览器F12可以看到的资源(静态资源和接口调用),我使用了selenium+browsermobproxy的方案来处理。这里是模块的安装方案,如需源码则关注后篇博客。
打卡学习Python爬虫第五天|Xpath解析的使用
weixin_52687711的博客
08-22 953
Xpath是在XML文档中搜索内容的一门语言,HTML可以看作是xml的一个子集。
使用亮数据爬虫工具解锁复杂爬虫场景
分享Python、数据分析、人工智能前沿知识
08-20 1204
在当今数据驱动型时代,数据采集和分析能力算是个人和企业的核心竞争力。然而,手动采集数据耗时费力且效率低下,而且容易被网站封禁。我之前使用过一个爬虫工具,亮数据(Bright Data) ,是一款低代码爬虫平台,既有现成的爬虫解锁框架,还提供IP代理服务。亮数据基于全球代理IP网络和强大数据采集技术的解决方案,可帮助轻松采集各种网页数据,如产品信息、价格信息、评论信息、社交媒体数据等。
如何使用Web Scraper爬虫抓取数据?
分享Python、数据分析、人工智能前沿知识
08-20 480
Web Scraper是一个基于Chrome/火狐浏览器的插件,能够在网页上自动爬取数据,提供了丰富的配置,支持自动翻页、登录认证、JavaScript渲染等等,可以解决多数爬虫难题。安装好Web Scraper后,需要在开发者工具中使用它,按F12键打开开发者模式能找到Web Scraper功能区,在这里可以新建并配置爬虫,你也不需要写任何代码就能抓取数据。Web Scraper的安装也很简单,在Chrome应用商店里搜索“Web Scraper”,找到该插件并点击“添加至Chrome”按钮。
计算机毕业设计选题推荐-股票数据可视化分析与预测-Python爬虫
IT毕设梦工厂的博客
08-20 889
股票市场作为全球经济的晴雨表,其数据分析和预测对于投资者决策至关重要。根据相关数据,中国股民人数已超过1.7亿,显示出股票市场对广大投资者的吸引力。然而,面对海量的股票数据,如何有效进行分析和预测,成为投资者和金融分析师面临的一大挑战。传统的分析方法在处理大数据集时存在局限性,而人工智能和机器学习技术的发展为股票数据分析提供了新的解决方案。本课题旨在探索如何利用大数据和人工智能技术,提高股票数据的分析效率和预测准确性。本课题的研究目的在于开发一个基于大数据和人工智能技术的股票数据可视化分析与预测系统。
计算机相关法律法规及违规案例
Climbman的博客
08-21 812
根据《中华人民共和国刑法》第二百八十六条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,
主流短视频评论采集python爬虫(含一二级评论内容)
m0_56967679的博客
08-23 240
这样就拿到评论信息了,可以一级评论二级评论内容支持接口获取,软件获取,进行评论获取对应信息。评论采集更新需要登录,由于不懈的努力,攻破这一难点,不需要登录采集作品所有评论信息。仅用于学习交流,不用于其他用途。
移动端爬虫学习记录
qq_62714412的博客
08-23 753
本文从零开始安装模拟器和Fiddler抓包工具,然后配置模拟器和Fiddler,实现Fiddler能获取到模拟器的响应,最后以一个Fiddler抓包的案例结束本文
Python爬虫——简单网页抓取(实战案例)小白篇
m0_65482549的博客
08-20 1422
Python 爬虫是一种强大的工具,用于从网页中提取数据。这里,我将通过一个简单的实战案例来展示如何使用 Python 和一些流行的库(如requests和)来抓取网页数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值