版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明: 可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。 使用方法: 将waf.php传到要包含的文件的目录 在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码就可以做到页面防注入、
分类:
数据库 时间:
2016-03-08 00:15:15
阅读次数:
190
目前国内外流行的云WAF厂商有如百度云加速,360网站卫士,加速乐,云盾等。因为PHP远程dos漏洞及PHP官方修复方案的特点,我们成功利用该漏洞绕过了当前主流WAF的文件上传防御,例如百度云加速、360网站卫士、知道创于加速乐、安全狗。接下来,我们以PHP为例,详细解析我们的绕过方法。根据PHP ...
分类:
Web程序 时间:
2016-01-18 12:13:50
阅读次数:
288
0x00 背景sqlmap中的tamper脚本来对目标进行更高效的攻击。由于乌云知识库少了sqlmap-tamper 收集一下,方便学习。 根据sqlmap中的tamper脚本可以学习过绕过一些技巧。 我收集在找相关的案例作为可分析什么环境使用什么tamper脚本。 小学生毕业的我,着能偷偷说一下多...
分类:
数据库 时间:
2015-11-19 11:21:10
阅读次数:
272
IPS:入侵防御系统IDS入侵检测系统入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害..
分类:
其他好文 时间:
2015-11-09 19:07:42
阅读次数:
261
一些漏洞:sql注入,xss,文件包含,目录遍历,参数篡改,认证攻击即使你有一些防火墙以及waf,那些黑客同样可以绕过这个时候安全人员就需要一些安全检测工具,找出来漏洞,修补是最好的办法下面介绍awvsacunetix web vulnerability scanner一款自动化的web应用安全测试...
分类:
其他好文 时间:
2015-10-26 20:53:00
阅读次数:
1453
ModSecurity web application firewall (WAF) Research
分类:
移动开发 时间:
2015-10-21 21:07:53
阅读次数:
391
PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文。也希望整理的内容能给甲方工作者或则白帽子带来一些收获。0x00 概述随着网络安全越来越受到重视,发展越来越快。随之也出现了越来越多的安全防护的软件。例如有:1.云waf...
分类:
其他好文 时间:
2015-09-14 00:26:34
阅读次数:
298
前面一篇文章讲了如何在Azure上部署Barracuda。这篇文章聊一聊如何配置Barracuda。License 向Barracuda的销售人员申请WAF的License。得到License后打开刚刚安装的Barracuda的管理界面:http://azurebrcd.chinacloudapp....
分类:
其他好文 时间:
2015-08-25 19:16:55
阅读次数:
191
曾经研究过一段时间,并做了一下简单的总结,感觉还比较实用,放在有道云笔记里躺了很长时间,感觉有点浪费,拿出来分享一下,让新手少走弯路,高手请绕行。。。。环境:linux平台,redhat系统;一Nginx安装1.所需组件若已有这几个组件,可直接查看安装部分1.1gcc编译器若没有g..
分类:
其他好文 时间:
2015-08-18 06:43:10
阅读次数:
927
sqlmap的tamper目录下有41个用于绕过waf的脚本,网上有文章简要介绍过使用方法,但是只是简单说了其中少数几个的作用。本人通过这41个脚本的文档注释,将它们每一个的作用简单标记了一下,还是像之前一样,先googletranslate再人工润色。其实,文档注释里面都有例子,看一眼就..
分类:
数据库 时间:
2015-08-02 06:41:57
阅读次数:
213
