最近在帮朋友维护一个站点。这个站点是一个Php网站。坑爹的是用IIS做代理。出了无数问题之后忍无可忍,于是要我帮他切换到nginx上面,前期被不断的扫描和CC。最后找到了waf这样一个解决方案缓解一下。话不多说直接开始。 waf的作用: nginx 的话我选择春哥开源的:OpenResty一个伟大的 ...
分类:
Web程序 时间:
2016-12-09 18:46:32
阅读次数:
320
自己的第二套教程“PHP代码审计入门教程”终于上线了,http://edu.51cto.com/course/course_id-7776.html。这套教程以DVWA为平台,从PHP代码的角度分析了SQL注入、XSS、CSRF、命令注入、文件包含等常见Web漏洞的形成原因及修补方法。由于WAF在比赛中所占比重越来越少,所以教程..
分类:
Web程序 时间:
2016-12-09 10:45:12
阅读次数:
399
文件包含可以利用的方式 (1) 直接进行文件的遍历读取;(读取敏感信息) 在获悉中间件 IIS、apache与第三方集成包等程序默认安装路径的情况,可以直接利用文件包含结合目录遍历进行“配置文件的读取” include.php?file=../../../etc/pass include.php?f ...
分类:
其他好文 时间:
2016-12-07 01:43:00
阅读次数:
209
ngx_lua_waf模块模块介绍一个基于ngx_lua的web应用防火墙,代码很简单,开发初衷主要是使用简单,高性能和轻量级。功能:用于过滤post,get,cookie方式常见的web攻击防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏.防止ApacheBench..
分类:
其他好文 时间:
2016-12-06 14:58:58
阅读次数:
276
一、准备工作 系统:centos 7.2 64位、nginx1.10.2, modsecurity2.9.1 owasp3.0 1、nginx:http://nginx.org/download/nginx-1.10.2.tar.gz 2、modsecurity for Nginx: https:/ ...
分类:
其他好文 时间:
2016-12-03 12:12:18
阅读次数:
770
最近在帮朋友维护一个站点。这个站点是一个Php网站。坑爹的是用IIS做代理。出了无数问题之后忍无可忍终于要我帮他切换到nginx上面,前期被不断的扫描和CC。最后找到了waf这样一个解决方案缓解一下。话不多说直接开始。waf的作用:防止sql注入,本地包含,部分溢出,fuzzing测试..
分类:
Web程序 时间:
2016-12-02 16:38:23
阅读次数:
314
1、安装RubyInstallerhttp://rubyinstaller.org/downloads/注意:安装目录结构不要太深安装完成后在命令行运行: ruby –v 可以查看是否安装成功2、安装DevKithttp://rubyinstaller.org/downloads/注意:要先安装Ru ...
分类:
其他好文 时间:
2016-11-28 14:43:28
阅读次数:
347
《Windows Azure Platform 系列文章目录》 最近在帮助一个客户设置WAF (Web Application Firewall),WAF厂商要求在负载均衡器上,设置多个公网IP地址。架构如下图: 我研究了一下,在Azure ARM模式下可以实现,在这里记录一下。 在默认情况下,Az ...
分类:
其他好文 时间:
2016-11-23 19:04:19
阅读次数:
387
1. 阅读Roslyn源码 首先阅读《深入理解计算机系统-第二版》 、《编译原理》,然后温习很久没有用到的C语言 。 2. 做一个C#代码编辑器,使用Roslyn编译代码,语法高亮,代码自动提示(可以设置代码提示采用的是汉语还是英语),参考linqpad,waf dotnetpad,sharpdev ...
分类:
其他好文 时间:
2016-11-21 14:44:21
阅读次数:
161
Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过。WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招。那今天我在这里做个小小的扫盲吧。先来说说WAF bypass是啥。 WAF呢,简单说,它是一个Web应用程序防火墙,其功能呢是用于过滤某些恶 ...
分类:
数据库 时间:
2016-11-09 11:11:41
阅读次数:
267
