漏洞防线触发WAF点-针对xray,awvs等
1.工具速度-(代理池,延迟,白名单等)
2.工具指纹-(特征修改,伪造模拟真实用户等)
3.漏洞Payload-(数据变异,数据加密,白名单等)
一、 案例演示目录
二、代理池Proxy_pool项目搭建及使用解释
地址:https://github.com/jhao104/proxy_pool
需要安装Redis数据库
安装依赖: pip install -r requirements.txt
因为太麻烦了,这里就不弄了,可以去b站上搜索教程
三、充钱代理池直接干safedog+BT+Aliyun探针
快代理:https://www.kuaidaili.com/
将代理的地址更换到python脚本中
运行,通过代理不断的更换ip去访问,所以就不存在本机ip被拦截的情况
宝塔的安全日志:
此处就算拦截也只会拦截代理ip,不会影响本机ip对网站的访问,可以说是非常安全了
四、Safedog-Awvs漏扫注入测试绕过-延时,白名单
当目标网站有安全狗时,通过awvs进行扫描会被安全狗拦截。
1.可以在扫描时设置awvs的扫描速度
2.修改awvs扫描时数据包的user-agent
五、BT(baota)-awvs+xray漏扫Payload绕过
当使用xray扫描目标时,对方waf有可能识别到xray的指纹特征,从而拦截你的ip。
awvs+xray+burp
将awvs代理设置为burp上,让awvs扫描的数据经过burp
burp设置将数据转发到本地的7777端口上(这里burp其实就是打酱油,没有什么实际作用,就是为了方便看awvs发送的数据包)
打开xary,监听7777端口上的数据并进行扫描。
流程:
说白了就是把awvs进行扫描测试的数据包拦截下来,转发交给xary让xary去发送扫描。(我自己觉得没有什么吊用)
六、充钱上代理池干
AWVS扫描时添加代理及对应端口,为购买的代理进行扫描
