google上搜索下面信息: waf site:klionsec.github.io 有几篇比较有意思的问题: https://klionsec.github.io/2017/07/09/nginx-waf/ 定制轻量高效的WAF Naxsi [一] 利用 nginx_lua 定制高效灵活的专属WAF…

通过nginx配置文件抵御攻击 0x00 前言 大家好,我们是OpenCDN团队的Twwy.这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果. 其实很多时候,各种防攻击的思路我们都明白,比如限制IP啊,过滤攻击字符串啊,识别攻击指纹啦.可是要如何去实现它呢?用守护脚本吗?用PHP在外面包一层过滤?还是直接加防火墙吗?这些都是防御手段.不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的防御效果. 0x01 验证浏览器行为 简易版 我们先来做个比喻. 社区…

文章来源:http://danqingdani.blog.163.com/blog/static/1860941952014101723845500/ 本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源.        本片文章包括三个主题       (1) WAF实现       WAF包括哪些组件,这些组件如何交互来实现WAF防御功能         (2)WAF规则(策略)维护      规则(策略)如何维护,包括获取渠道,规则测试方…

之前写了一篇<WAF防御能力评测及工具>,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!).本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源. 本片文章包括三个主题 (1) WAF实现 WAF包括哪些组件,这些组件如何交互来实现WAF防御功能 (2)WAF规则(策略)维护 规则(策略)如何维护,包括获取渠道,规则测试方法以及上线效果评测 (3) WAF支撑 WAF产品的完善需要哪些信…

1.Nginx加载Lua环境默认情况下Nginx不支持Lua模块, 需要安装LuaJIT解释器, 并且需要重新编译Nginx, 建议使用openrestry 1)环境准备 [root@localhost ~]# yum -y install gcc gcc-c++ make pcre-devel zlib-devel openssl-devel 2)下载luajit和ngx_devel_kit以及lua-nginx-module [root@localhost ~]# cd /usr/local…

前言:最近一段时间在写加密数据功能,对安全相关知识还是缺少积累,无意间接触到了WAF相关知识,刚好Nginx可以实现WAF功能,也简单学习了Lua这门语言,分享下 一.WAF产生的背景 过去企业通常会采用防火墙,作为安全保障的第一道防线:当时的防火墙只是在第三层(网络层)有效的阻断一些数据包:而随着web应用的功能越来越丰富的时候,Web服务器因为其强大的计算能力,处理性能,蕴含较高的价值,成为主要的被攻击目标(第五层应用层).而传统防火墙在阻止利用应用程序漏洞进行的攻击方面,却没有办法:在此背…

最近也是在一直看过waf相关的资料,本次主要是想写写HTTP协议层面过WAF的一些技巧,来与大家一同探讨 原理 给服务器发送payload数据包,使得waf无法识别出payload,当apache,tomcat等web容器能正常解析其内容.如图所示 实验环境 本机win10+phpstudy2018+某狗web应用防火墙最新版 本次演示的站点是我自己用php写的一个post型sql注入类型的站 安全狗需要做一下配置 勾选检测POST,就可检测post类型的注入 发现发送post请求的payloa…

sql注入l MySqlMySQL False注入及技巧总结MySQL 注入攻击与防御sql注入学习总结SQL注入防御与绕过的几种姿势MySQL偏门技巧mysql注入可报错时爆表名.字段名.库名高级SQL注入:混淆和绕过 MSSQLMSSQL DBA权限获取WEBSHELL的过程MSSQL 注入攻击与防御CLR在SQL Server中的利用技术分析 PostgreSQLpostgresql数据库利用方式PostgreSQL渗透测试指南 MongoDBMongoDB安全 – PHP注入检测 技巧我…

ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-Security-Learning Web-Security-Learning 学习资料01月29日更新: 新收录文章 mysql SSRF To RCE in MySQL MSSQL MSSQL不使用xp_cmdshell执行命令并获取回显的两种方法 postgresql 渗透中利用postgres…

BurpSuiteHTTPSmuggler 网址 https://github.com/nccgroup/BurpSuiteHTTPSmuggler 作用 利用 中间件对 HTTP 协议的实现的特性 bypass waf . 相关 ppt https://www.slideshare.net/SoroushDalili/waf-bypass-techniques-using-http-standard-and-web-servers-behaviour…