0
点赞
收藏
分享

微信扫一扫

搭建基础镜像(centos+jdk+tomcat)

_鱼与渔_ 2024-05-05 阅读 32
前端

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客 

绕过WAF

Bypass WAF(Web Application Firewall)实际上是利用位于 WAF 设备之后处理应用层数据包的硬件/软件特性。这些特性使得攻击载荷可以绕过防护,而不被WAF检测到。这些特性就像是特定的场景,一些已被研究人员发现,一些则尚未被发现,等待研究人员挖掘。当攻击载荷满足这些场景时,如果WAF没有考虑到这些场景,我们就可以利用这些特性绕过WAF。

例如,要绕过云 WAF/IPS/硬件WAF,可以利用以下几个层面的漏洞:

  1. Web架构层的绕过
  2. Web服务器层的绕过
  3. Web应用程序层的绕过
  4. 数据库层的绕过
  5. WAF层的绕过

WAF的分类:

  1. 云WAF:

    • 配置云WAF时(通常是包含在CDN中的WAF),DNS需要解析到CDN,请求流量经过云WAF进行检测。通过检测后,数据包再传输给主机。
  2. 主机防护软件:

    • 预先在主机上安装了防护软件,可进行手动扫描和保护主机。它监控Web端口流量,检测是否有恶意行为,功能较为全面。常见的是mod_security、ngx_lua_WAF等开源WAF,尽管功能不错,但升级成本较高。
举报

相关推荐

0 条评论