之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。本片文章包括三个主题(1)WAF实现WAF包括...
分类:
其他好文 时间:
2015-01-29 14:16:57
阅读次数:
233
本篇文章介绍如何从常规攻击的防御能力来评测一款WAF。一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目的),注入点(漏洞产生的地方,比如说大多数WAF都会较全面地覆盖来自GET请求的攻击,有选择地覆盖来自POST请求的攻击而忽略来自请求头的攻击)和绕过方式来评测,最后附上评测代码。一、S...
分类:
其他好文 时间:
2015-01-29 14:11:21
阅读次数:
397
目前好多做DNS解析的服务,都采用了bind开源软件。好处就不多说了。但是在安全方面是个软肋,遭受DDOS流量攻击和放大攻击是常有的事情。在14年12月isc发布了最新的bind9.10-p1稳定版,同时对rate-limit默认支持(之前bind9.9的扩展支持版本,同样支持处于开发功能,需要在编译..
分类:
其他好文 时间:
2015-01-28 11:21:00
阅读次数:
904
花1台的钱入手2台【最能抗DDoS】阿里云主机【攻略】:第一步:先申请0元半年 http://click.aliyun.com/m/335/;注:0元机器只有新帐号可申请第二步:再买6折37/月 http://click.aliyun.com/m/623/ ;注:最长可买5个月这样,你花1台的钱就入...
分类:
其他好文 时间:
2015-01-27 14:42:41
阅读次数:
150
一、Nginx安全限制前面已经详细介绍了nginx负载均衡的配置以及nginx本身自带的的一些安全措施,详情请参考“生产环境下的负载均衡配置”,但毕竟nginx自带的安全功能有限也不太适合复杂的应用环境,本文可作为上一篇文章的续集。随着业务的增加,网络连接的流量越来越大,合理..
分类:
其他好文 时间:
2015-01-27 11:22:54
阅读次数:
470
WAF(web应用防火墙)逐渐成为安全解决方案的标配之一。正因为有了它,许多公司甚至已经不在意web应用的漏洞。遗憾的是,并不是所有的waf都是不可绕过的!本文将向大家讲述,如何使用注入神器SQLMap绕过WAFs/IDSs。svn下载最新版本的sqlmapsvn checkouthttps://s...
分类:
数据库 时间:
2015-01-27 01:48:07
阅读次数:
182
为了应对cc攻击,部署了ddosdefender软件。但该软件有个bug,在添加黑名单的时候不会判断该ip是否已经添加进去,导致了防火墙列表中有很多重复的ip地址,可以使用下面的命令删除重复的数据,只保留一条。iptables-vnL|grepDROP|awk‘{print$8}‘|grep-v"0.0.0.0"|awk‘/[0-9]/‘|so..
分类:
其他好文 时间:
2015-01-26 17:27:25
阅读次数:
166
差不多,一个星期多的时间都过去了。但是还是感觉时间过的太快,总是不禁的让人长叹一声,关于nginx和(naxsi)WAF这个问题,也算是只走出了第一步,在遇到了各种乱七八糟的错误之后总算是想要静下心来写一些自己这小段时间里的一些感受或者是算不上总结的总结。参考的文章也很多,我在这里把所有的东西都融....
分类:
其他好文 时间:
2015-01-26 15:05:16
阅读次数:
228
这几天还是一直在搭建nginx,并且要在nginx的基础之上配置naxsi(WAF防火墙)并使它生效,但是随之而来的问题也会有很多,也许因为我是个新手,所以遇到的问题要多,不解的问题也要很多,不知道又没有一刻你为你在学习Linux的时候没有专心的研究过这些问题而感到有些遗憾。好了,下面我来说一下我....
分类:
其他好文 时间:
2015-01-23 12:59:58
阅读次数:
275
一、简介最近新上了一个营销项目(和微信结合),后台用的是Tomcat。开始上线的时候因为人数不多感觉没太多问题,随着正式环境的发布,开人有人反映服务器页面无法打开,连入tomcat查看时发现连接数已满且CPU也用到了极限,初始的架构如下图所示,其使用1台tomcat和一台数据库..
分类:
其他好文 时间:
2015-01-20 18:31:06
阅读次数:
212
