WAF的实现】的更多相关文章

前言 之前介绍了一些前后端结合的中间人攻击方案.由于 Web 程序的特殊性,前端脚本的参与能大幅弥补后端的不足,从而达到传统难以实现的效果. 攻防本为一体,既然能用于攻击,类似的思路同样也可用于防御.如果将前端技术结合到传统的 WAF 中,又能有如何的改进? 假人的威胁 简单易用,是 Web 服务最大的优势.然而,这也是个致命的弱点. 这种格式简单.标准一致的特征,使得攻击者能利用现有的安全工具,进行大规模.通用化的探测和入侵.甚至无需了解其中的原理. 试想一下,如果某个网站使用私有的二进制协议…
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向.之前对WAF并不太了解,因此趁此机会科普一下并查阅了一些绕过WAF的方法.网上关于绕过WAF有诸多文章,但是观察之后会发现大体上绕过WAF的方法就那八.九种,…
业务安全通用解决方案——WAF数据风控 作者:南浔@阿里云安全 “你们安全不要阻碍业务发展”.“这个安全策略降低用户体验,影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨.但安全从业者加入公司的初衷绝对不是“阻碍业务发展”,那么安全解决方案能否成为“业务促进者”,而非“业务阻碍者”呢?答案是肯定. 安全和业务接耦,对客户透明的安全产品,如防火墙.IDS.WAF等就很少遭受到类似的吐槽. 但回归到互联网业务安全场景,现在业务安全防控常见场景往往如下: 场景一: 安全:“登陆流量报警了,有人…
添加IP白名单 在对自己公司网站进行安全测试时会被WAF拦截,如果把WAF彻底停掉就无法拦截到外部的攻击了. 此时可以添加IP地址白名单,白名单内的IP对网站发起扫描时不会做拦截.…
tips:from菜鸡队长 这次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次.不过现在不是很想去改进了.这个是比赛专用waf,商业价值几乎为0. 如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的php文件,那也有办法,如果是fastcgi(nginx,IIS比较常见)运行的ph…
从架构.资源.协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF防御能力. 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分.还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全.在我看来,WAF的绕过技术的研究将不断驱动防御水平提高. 以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面.绕过WAF规则,更像是正面对抗,属于下策.一直关注规则层面的绕过,…
一.安装nginx 二.安装luajit2.0 三.安装ngx_devel_kit#wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz --no-check-certificate#tar -zxvf v0.2.19 四.安装nginx_lua_module 五.编译nginx 七.安装配置nginx_lua_waf1.安装 wget https://github.com/loveshell/ngx_lua_waf…
PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文.也希望整理的内容能给甲方工作者或则白帽子带来一些收获. 0x00 概述 随着网络安全越来越受到重视,发展越来越快.随之也出现了越来越多的安全防护的软件.例如有: 1.云waf:[阿里云盾,百度云加速,360网站卫士,加速乐等] 2.传统安全厂商的硬件waf以及一直存在的ips,ids设备:[绿盟,启明,深信服,安恒等] 3.主机防护软件如安全狗,云锁: 4.软waf…
从偶然的机会发现一个mysql特性到wooyun waf绕过题 MayIKissYou | 2015-06-19 12:00 最近在测试的时候,偶然的机会发现了一个mysql的特性, 为啥是偶然的机会呢..... 一次测试的过程中我在mysql的console下做了如下的操作: 看出些什么了么? 我当时发现报错的时候例如-+{等符号 报错的时候提示的是''(双引号里没东西),但是如select后面添加1 a等内容的时候报的是 selecta,select1等等. 想到共性了么,-+{等等内容是能…
原文:http://www.2cto.com/net/201608/534272.html 安装LuaJIT http://luajit.org/download/LuaJIT-2.0.4.tar.gz tar xf LuaJIT-2.0.4.tar.gz cd LuaJIT-2.0.4 make && make install 即可 下载ngx_devel_kit https://codeload.github.com/simpl/ngx_devel_kit/zip/master unz…
初始测试 1.使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等: 2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应: 3.尝试以下的payload <script>alert(1);</script><script>prompt(1);</script><script…
[译文] -- “Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters” 0x1 前言 之前在乌云drops上看到一篇绕过WAF跨站脚本过滤器的一些技巧,是从国外的一篇paper部分翻译过来的,可以说文章摘取了原文核心的代码部分,见Bypass XSS过滤的测试方法.看完后觉得确实讲得比较全面和细致,然后找出了英文原文的paper,看了一下并画蛇添足的进行了下翻译,翻译得不好但算是有了篇完整的文章. 0…
知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 0x05 本文小结 0x06 参考资料 0x00 前言 笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪.之前对WAF接触比较少纯粹是新手趁此科普了一下并查阅了一些绕过WAF的方法.所找到的资料中主要分为两类SQL注入和XSS绕过笔者SQL注入同样是新手…
这次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次.不过现在不是很想去改进了.这个是比赛专用waf,商业价值几乎为0. 如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的php文件,那也有办法,如果是fastcgi(nginx,IIS比较常见)运行的php就在.user.ini加一…
catalog . What is Firewall . Detecting the WAF . Different Types of Encoding Bypass . Bypass本质 1. What is Firewall Firewall is a security system which controls the traffic between a Network, Server or an Application. There are both Software and Hardw…
catalog . 引言 . OWASP ModSecurity Core Rule Set (CRS) Project . Installation mod_security for Apache . Installation mod_security for nginx . Installation mod_security for IIS . mod_security Configuration Directives . Processing Phases . Variables . Tr…
WAF(Web Application Firewall),中文名称叫做“Web应用防火墙 WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,我们可以很清晰地了解到:WAF是一种工作在应用层的.通过特定的安全策略来专门为Web应用提供安全防护的产品.用途: 用于过滤post,get,cookie方式常见的web攻击 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等we…
sqlmap有一些非常好的脚本,在如下的地址中你能够发现它们.使用svn检查 https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev 事实上,脚本的作用是修改我们发出的请求来防止其被WAF(网络应用防火墙)拦截.在某些情况你可能需要把一些脚本合并到一起才能过WAF.脚本的完整列表访问如下: https://svn.sqlmap.org/sqlmap/trunk/sqlmap/tamper/ 许多企业经常忽视当前(DBMS)的脆弱性而依赖于网络防…
select{x table_name}from{x information_schema.tables} mysql> select{x table_name}from{x information_schema.tables}; +----------------------------------------------------+ | table_name | +----------------------------------------------------+ | CHARACT…
一.准备工作 系统:centos 7.2 64位.nginx1.10.2, modsecurity2.9.1 owasp3.0 1.nginx:http://nginx.org/download/nginx-1.10.2.tar.gz 2.modsecurity for Nginx: https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz 3.OWASP规则集:https://github.com/SpiderLabs…
XSS现代WAF规则探测及绕过技术初始测试 1.使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等: 2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应: 3.尝试以下的payload <script>alert();</script> <script>prompt();</scri…
文章摘自:https://github.com/unixhot/waf wget git@github.com:unixhot/waf.git…
1. 前言 当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力.处理性能及蕴含的较高价值逐渐成为主要攻击目标.SQL注入.网页篡改.网页挂马等安全事件,频繁发生. 企业等用户一般采用防火墙作为安全保障体系的第一道防线.但是,在现实中,他们存在这样那样的问题,例如传统的防火墙体系无法对当前快速爆发和蔓延的0DAY漏洞进行快速响应和对抗,而要彻底解决此类漏洞的代码审计和代码修补往往需要较长的时间,由此产生了WAF(Web应用防护系统).TecNova-WAF Web应用防护系统(Web…
研究过国内外的waf.分享一些绝技. 一些大家都了解的技巧如:/*!*/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重新提及. 以下以Mysql为例讲述这些技巧: tips1: 神奇的  (格式输出表的那个控制符) 绕过空格和一些正则匹配. Default mysql> select`version`() -> ; +----------------------+ | `version`() | +----------------------+ | 5…
WAF介绍 什么是WAF? Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品. 基本/简单绕过方法: 1.注释符 http://www.site.com/index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3,4…. 2.使用大小写 http://www.site.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4…. 3.结合前面两种方法 http://…
现在市场上的主流网络安全产品可以分为以下几个大类: 1.基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略. 2.IDS类,此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用. 3.IPS类,解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作.在…
谁是最佳选择? Web应用防护无疑是一个热门话题.由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体.在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低,也使得很多攻击带有盲目和随机性.比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序,还有SQL批量注入和挂马等.但对于重要的Web应用(比如运营商或金融),始终有受利益驱动的黑客进行持续的跟踪. 如果说传统的“大而全”安全防护产品…
转载自sss安全论坛 目标站点:http://www.xxx.cn:88注入点:http://www.xxx.cn:88/new/details1.asp?n_id=49909对其进行检测:http://www.xxx.cn:88/new/details1.asp?n_id=49909’ 发现有waf,测试and 1=1 和 and 1=2 , and 和 = 也被检测出来, 尝试大写和like代替and Payload:http://www.xxx.cn:88/new/details1.asp…
Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过.WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招.那今天我在这里做个小小的扫盲吧.先来说说WAF bypass是啥. WAF呢,简单说,它是一个Web应用程序防火墙,其功能呢是用于过滤某些恶意请求与某些关键字.WAF仅仅是一个工具,帮助你防护网站来的.但是如果你代码写得特别渣渣,别说WAF帮不了你,就连wefgod都帮不了你…所以不能天真的以为用上WAF你的网站就百毒不侵了.开始正题—-…
WAF绕过神器 (过安全狗.智创SQL注入) 发布时间:-- :10文章来源:网络文章作者:panni007 点击次数: 次 分享到: QQ空间 QQ微博 新浪微博 开心网 人人网 摘要:起因: bystander分享了简单绕过安全狗进行任何操作 让狗形同虚设, 其中有个秒安全狗神器,刚好论坛有个关于安全狗突破的求助网站,我去试了试,发现可行,但是有一个问题: 就是上传后,无法查看源文件来看看上传后的地址..只能通过抓包来看了..在加上... 起因: bystander分享了 简单绕过安全狗进行…