8.架构,搭建,WAF

最新推荐文章于 2024-05-20 11:22:30 发布
最新推荐文章于 2024-05-20 11:22:30 发布
阅读量348 收藏
点赞数 1
分类专栏: 小迪安全培训视频笔记 安全笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/119006795
版权

文章目录

前言

在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响 到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定 着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路 就是从信息收集这里开始,你与大牛的差距也是从这里开始的!

在这里插入图片描述

知识点

CMS 识别技术

见[[4.web源码拓展]]文中cms识别

源码获取技术

架构信息获取

站点搭建分析

搭建习惯-目录型站点

sti.blcu-bbs-目录型站点分析

sti.blcu.edu.cn/bbs 与 sti.blcu.edu.cn不是一套程序搭建的

利用目录扫描工具,或者目录挖掘

搭建习惯-端口类站点

web.0516jz-8080-端口类站点分析

web.0516jz.com:80 和 web.0516jz.com:8080分开两套程序搭建

搭建习惯-子域名站点

goodlift-www.bbs-子域名两套 CMS

www.goodlift.net 和 bbs.goodlift.net 是两套网站

可能是同ip也可能是同网段

搭建习惯-类似域名站点

jmlsd-cn.com.net 等-各种常用域名后缀

搭建习惯-旁注,C 段站点

旁注:同服务器,不同站点
C段:同网段,不同服务器,不同站点

同IP网站查询,C段查询,IP反查域名,C段旁注,旁注工具 (webscan.cc)

weipan-qqyewu-查询靶场同服务器站点
weipan-phpstudy-查询特定软件中间件等

搭建习惯-搭建软件特征站点

宝塔、phpstudy、lnmap

一般回显server信息比较全的,都是搭建软件搭建的网站
phpmyadmin

WAF 防护分析

什么是 WAF 应用?

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

如何快速识别 WAF?

工具:wafwa00f

GitHub - EnableSecurity/wafw00f: WAFW00F allows one to identify and fingerprint Web Application Firewall (WAF) products protecting a website.

wafw00f-shodan(X-Powered-By: WAF)-147.92.47.120

识别 WAF 对于安全测试的意义?

sec0nd_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
雷池WAF入门教学-介绍和安装
f2238195886的博客
08-15 2万+
是首创业内领先的智能语义分析算法,精准检测、低误报、难绕过语义分析算法无规则,面对未知特征的 0day 攻击不再手足无措。是基于nginx反向代理技术实现的流量拦截,性能损耗小,对业务侵入小,无任何影响。门槛低,采用docker方式部署,通过官方提供的安装脚本,一行命令一键安装即可使用,对于新手和非运维人员非常友好。管理界面友好,通过web界面管理,可以实时查看WAF的运行状态,查看攻击日志事件,首页显示攻击IP地理分布,请求数统计,站点浏览数等PV和UV指标。
搭建x-waf,测试体验web防护
yangyouchang的专栏
12-30 970
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费WAF
开源Rachel WAF应用防火墙安装及使用
最新发布
RACHEL的博客
05-20 957
开源Rachel WAF应用防火墙
玩转系统|长亭雷池WAF详细使用教程——初次见面
Jum的博客
11-21 5874
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。​雷池是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。Slogan: 不让黑客越雷池半步。​。
Nginx + Lua 搭建网站WAF防火墙
giun的博客
06-17 6570
Nginx + Lua 搭建网站WAF防火墙一、目的二、前期环境准备(一)、更新下yum源(二)、编译安装Nginx(三)、端口放行(四)、验证安装(五)、lua编译安装三、Nginx+Lua搭建WAF防火墙(一)、php环境配置(二)、克隆代码并将其移动到nginx/waf目录下(三)、进行必要配置(四)、验证四、总结 一、目的 利用centos -7 和Nginx + Lua 搭建网站WAF防火墙可以防御SQL、XSS等攻击。 二、前期环境准备 (一)、更新下yum源 这边使用的是centos-7的系统
Frp+长亭雷池waf+Nginx实现内网穿透
qq_38525486的博客
07-08 2645
以上配置能够实现访问为SSL加密的,但是会存在一个问题是waf内始终获取不到proxy_protocol内的客户端真实地址并且会报错Header头损坏。但是使用http协议进来的请求是OK的,所以怀疑是plugin转http时重写了Header导致。可以点击详情查看拦截的详细信息,在调试获取真实IP的时候可以通过这里查看请求 来判断是否有传入真实IP地址。例如:以上X-real-IP获取的为我的公网访问地址,那么我们需要去【通用配置】中修改如下配置。另外这里的端口和域名都为frpc内配置的请求地址和端口。
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
互联网基础系统架构运维之路.pdf
10-14
随着业务的发展,到了2012年至2014年的“石器时代”,魅族开始搭建云平台,采用VMware虚拟化技术,并逐渐引入自动化运维工具,如Nagios和Cacti,以及通过Excel进行资产管理。然而,这一阶段也面临着机房资源不足、...
从无到有搭建中小型互联网公司后台服务架构与运维架构(龙果学院)最新源码
12-25
总的来说,这个视频教程应该会涵盖如何使用Spring、Spring Boot和Dubbo等技术搭建后台服务,以及如何构建相应的运维架构,包括服务治理、自动化部署、监控和安全措施。通过学习,开发者可以掌握一套完整的后台服务...
亿级流量网站架构核心技术+跟开涛学搭建高可用高并发系统
01-11
总的来说,“亿级流量网站架构核心技术+跟开涛学搭建高可用高并发系统”涵盖了从架构设计到实际操作的全过程,旨在帮助开发者和运维人员掌握应对大规模流量的策略和技术,构建高效、可靠的互联网服务。通过学习和...
亿级流量网站架构核心技术 跟开涛学搭建高可用高并发系统
04-29
《亿级流量网站架构核心技术——跟开涛学搭建高可用高并发系统》是一本深入探讨如何构建能够处理大规模用户访问的互联网系统的技术书籍。在现代互联网行业中,面对日益增长的用户需求和流量压力,设计出高可用、高...
堡塔云WAF:免费的私有云WAF防火墙,有效拦截CC攻击、sql注入、xss、一句话木马等渗透攻击
linux8的博客
01-25 2346
在运维管理网站的同时,如果有遇到网站被挂马、sql注入、XSS跨站脚本、网页内容被篡改、页面盗链、网站内容数据泄露、网站被恶意扫描、cc攻击等一系列安全问题,推荐安装使用堡塔云WAF,避免您的网站资产数据泄露,保障网站安全。堡塔云WAF是基于宝塔面板千万级安装量的网站业务安全实战经验,打造的免费私有云WAF防火墙,有效拦截CC攻击、sql注入、xss、一句话木马、防采集等常见渗透攻击,为您的业务网站保驾护航。记录恶意攻击的拦截时间,攻击的网站对象以及攻击的URL地址,还有攻击IP及归属地和攻击类型。
设备搭建waf、蜜罐、ids和ips)
m0_56578216的博客
10-08 393
DMZ区域叫非军事化区减,DMZ有web服务或者MySQL服务,从互联网到dmz的流量一般不拦截(因为需要互联网用户访问web服务),如果dmz沦陷,攻击者想要继续横向移动到内网,那么dmz就会拦截所有的TCP数据包,保证了内网的安全,内网中有办公网,办公网用来监控本公司的物联网设备,十分重要。waf全称web application firewall,web应用防火墙,waf分为硬件waf和软件waf,软件waf,有安全狗,硬件waf有绿盟,雷池;****相反,低交互蜜罐只可以模拟部分系统的功能。
CentOS7雷池WAF基于Docker搭建部署_centos 部署waf(1),妈妈再也不用担心我的面试
2401_84160325的博客
04-09 985
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
CentOS7雷池WAF基于Docker搭建部署
QuJJan的博客
01-17 1812
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
生产级搭建openresty+waf防火墙
weixin_44235608的博客
12-23 667
openrestry lua waf 防火墙 系统安全
靶场waf搭建
willing-sir的博客
01-26 212
靶场waf搭建 这里应朋友的要求写一篇关于waf搭建的教程。这个搭建过程其实并不复杂,但是过程中还是碰到了一些细小的问题。 搭建准备:phpstudy,V4版的安全狗 官网下载网站安全狗Apache版,这里我下的是Windows 搭建安全狗的过程中最容易出问题的地方首先就是会一直提醒没有apache服务,这里我们要把这个安全狗安装到Apache套件所在的文件位置,在此之前要做的是进入到phpst...
搭建简单的云waf
weixin_33965305的博客
11-16 726
看我如何搭建一款方便易用的云WAF前言当前市面上各种云WAF,主要作用有两个一个是CDN加速,另一个就是做云防护,原理大概就是把域名IP解析权移交WAF提供商,通过他们访问回目标服务器ip,可以隐藏服务器的真实IP。环境:Ubuntu 16.04.1 LTSMysqlNgnix我们使用的是这款云WAFhttps://waf.xsec.io/https://github.com...
web安全|渗透测试|网络安全08天
haxixihaha的博客
11-04 264
信息收集-架构搭建WAF等 掌握信息的多少将决定发现漏洞机会大小,换言而之决定着是否能完成任务 WAF是网站的防护技术,保护网站不被墙 CMS识别技术 源码获取技术 架构信息获取 站点搭建分析 搭建习惯-目录型站点 sti.blcu-bbs-目录型 通过目录扫描工具,可以看到这是目录型结构 这是目录型结构,所以,当任何一个网站有漏洞的时候,都可以瞬间击垮所有网站。 端口型网站 这种是以端口号,来区分不同的网站,不同的端口号,不同的网站 一个是用来管理,一个是用来展示,哪一个出现问题,那么
<?php if (!defined('WAF')) {define('WAF', true);if(file_exists('../../../../waf.php')) require_once('../../../../waf.php');}?><?php
09-03
如果"WAF"常量未定义,则会定义"WAF"常量,并包含一个名为"waf.php"的文件。 在这段代码中,使用了相对路径来引用"waf.php"文件。根据代码中的路径,文件应该位于当前目录的上四级目录下,即"../../../../waf.php"...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值