前言ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙github地址:https://github.com/loveshell/ngx_lua_waf1,用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的攻击屏蔽..
分类:
Web程序 时间:
2016-05-09 14:32:20
阅读次数:
478
SQL注入中的WAF绕过技术 1月 06, 2013 发布在 学习笔记 SQL注入中的WAF绕过技术 1月 06, 2013 发布在 学习笔记 作者:bystander博客:http://leaver.me论坛:法克论坛 目录 1.大小写绕过 2.简单编码绕过 3.注释绕过 4.分隔重写绕过 5.H ...
分类:
数据库 时间:
2016-05-04 19:04:24
阅读次数:
333
使用sqlmap中tamper脚本绕过waf 刘海哥 · 2015/02/02 11:26 0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击。 由于乌云知识库少了sqlmap-tamper 收集一下,方便学习。 根据sqlmap中的tamper脚本可以学习过绕过一些技巧。 我 ...
分类:
数据库 时间:
2016-05-04 19:01:04
阅读次数:
325
方法一、SecRuleRemoveById 指令:通过Rule ID禁用指定规则 方法二、SecRuleRemoveByMsg指令:通过Rule Msg禁用指定规则 方法三、url加白 :对指定路径关闭WAF检测/或只记录不拦截 ...
分类:
其他好文 时间:
2016-04-19 19:19:52
阅读次数:
683
知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪。之前对WAF接触比较少纯粹是新手趁此科普了一下并查阅了一些绕过WAF的方法。所找到的资料中主要分为两类SQL注入和XSS绕过笔者SQL注入同样是新 ...
分类:
数据库 时间:
2016-04-17 17:31:36
阅读次数:
243
NGINX安全防护ngx_lua_waf安装说明文档作者github地址:https://github.com/loveshell/ngx_lua_waf转自作者说明文档:ngx_lua_waf是我一个基于ngx_lua的web应用防火墙。
代码很简单,开发初衷主要是使用简单,高性能和轻量级。
现在开源出来.其中包含我们的过滤规则。如果大家有..
分类:
Web程序 时间:
2016-04-14 18:10:22
阅读次数:
543
WAF(Web Application Firewall),中文名称叫做“Web应用防火墙 WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,我们可以很清晰地了解到:WAF是一种工作在应用层的、通 ...
分类:
其他好文 时间:
2016-03-31 16:31:25
阅读次数:
1245
1,sql注入2,xss3,不安全下载 code_backup.tar.gz .sql 4.隐私文件访问 .svn .git 5.弱口令6. 非授权访问 redis 7.cc攻击 性能cc攻击8.DDOS攻击 Nginx cc攻击:频率限制 不安全下载:判断后缀 非授权访问:后缀、认证 测试防护:根 ...
分类:
Web程序 时间:
2016-03-26 14:05:41
阅读次数:
208
WAF全称叫Web Application Firewall,web应用防火墙 最近公司网页发现有人天天在刷单,ELk真心不错,能多维度的发现这些问题。所以现在考虑给nginx增加个WAF模块,找了个老外的ModSecurity,下面讲下如何安装 1、安装依赖rpm包 yum -y install
分类:
其他好文 时间:
2016-03-10 14:45:42
阅读次数:
811
