引言: 首先大家应该都知道WAF的功能以及原理,市面上大致都是使用nginx+lua做到的,这里也不例外.但是稍有不同的是,逻辑层面不在lua里去做 而是使用ElasticSearch进行分析之后,lua只是使用分析后的IP地址进行封禁,大大减少直接进行阻断而产生的误报等故障. 架构图如下: 可以得 ...
分类:
其他好文 时间:
2016-07-23 19:43:39
阅读次数:
177
1首先把ns3项目导入eclipse 然后把上面的的ns3按照上面的提示即可导入成功。 然后可以运行一下 ./waf configure 2 配置C/C++ Build 右键工程,选择属性(properties),在build中(C++ Build)进行修改,build命令选择waf所在的路径,比如 ...
分类:
系统相关 时间:
2016-07-13 21:30:45
阅读次数:
567
这个的内容我主要是参考了 这个链接的学习,基本上过程没有出现的问题。 就是这个链接少了测试的一步 1.测试一下下 在编译完成之后,可以通过运行“./test.py -c core”脚本进行ns-3软件包的正确性测试,./test.py -c core这些测试可以被waf并行执行,最后可以看到如下的结 ...
分类:
系统相关 时间:
2016-07-13 13:46:04
阅读次数:
167
0x01 preview
上个星期参加了某巨头厂商承办的挑战赛,比赛周期48小时,题目是成功渗透在安全宝保护下的五个通用cms靶场,其中包括论坛、商城、资源网站等
从靶场布置来看很明显是在测试安全宝对于几种不同类型cms的对攻击的防御能力。
这样的比赛模式区别于常见的CTF线上模式稍有不同,实战味道较强。常规的CTF在Web题目上面主要考察的是漏洞挖掘和利用,难点一般凸显在发现难和利...
分类:
其他好文 时间:
2016-07-02 13:20:15
阅读次数:
382
步骤一:安装 源码安装 首先下载 git clone https://github.com/EnableSecurity/wafw00f.git #cd wafw00f #python setup.py install 安装完成后位置 步骤二:查询支持的WAF检测 (目前大约38个) #wafw00 ...
分类:
其他好文 时间:
2016-06-23 20:42:15
阅读次数:
1106
知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪。之前对WAF接触比较少纯粹是新手趁此科普了 一下并查阅了一些绕过WAF的方法。所找到的资料中主要分为两类SQL注入和XSS绕过笔者SQL注入同样是 ...
分类:
数据库 时间:
2016-06-04 19:23:40
阅读次数:
270
一、注入 1、绕过WAF (1)、贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询) 利用hpp+php特性 ...
分类:
其他好文 时间:
2016-06-01 00:13:34
阅读次数:
260
一.软件介绍ModSecurity是一个免费、开源的Web(apache、nginx、IIS)模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避..
分类:
其他好文 时间:
2016-05-30 17:20:17
阅读次数:
1013
ps:http://waf.codeplex.com/wikipage?title=Model-View-ViewModel%20Pattern&referringTitle=Documentation Model-View-ViewModel Pattern Common abbreviation ...
分类:
移动开发 时间:
2016-05-29 16:28:10
阅读次数:
791
ps: http://waf.codeplex.com/releases/view/618696 Architecture This page might help you to understand what MEF does in the sample applications.帮助理解 MEF ...
分类:
其他好文 时间:
2016-05-29 12:12:26
阅读次数:
140
