背景对于腾讯的业务来说,有两个方面决定着WAF能否发挥效果,一个是合适处理海量流量的架构,另一个关键因素则是规则系统。架构决定着WAF能否承受住海量流量的挑战,这个在之前的篇章中简单介绍过(详情见主流WAF架构分析与探索、WAF应用层实现的架构漫谈)。而规则系统则决定着WAF能否发挥完善的防护功能。...
分类:
其他好文 时间:
2015-02-05 13:11:45
阅读次数:
159
浏览器向服务器发送请求的时候必须指明请求类型(一般是GET或者POST)。如有必要,浏览器还可以选择发送其他的请求头。大多数请求头并不是必需的,但Content-Length除外。对于POST请求来说Content-Length必须出现。大多数WAF都会较全面地检测来自GET请求的攻击,有选择地检测...
分类:
其他好文 时间:
2015-02-01 17:27:39
阅读次数:
172
之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。本片文章包括三个主题(1)WAF实现WAF包括...
分类:
其他好文 时间:
2015-01-29 14:16:57
阅读次数:
233
本篇文章介绍如何从常规攻击的防御能力来评测一款WAF。一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目的),注入点(漏洞产生的地方,比如说大多数WAF都会较全面地覆盖来自GET请求的攻击,有选择地覆盖来自POST请求的攻击而忽略来自请求头的攻击)和绕过方式来评测,最后附上评测代码。一、S...
分类:
其他好文 时间:
2015-01-29 14:11:21
阅读次数:
397
一、Nginx安全限制前面已经详细介绍了nginx负载均衡的配置以及nginx本身自带的的一些安全措施,详情请参考“生产环境下的负载均衡配置”,但毕竟nginx自带的安全功能有限也不太适合复杂的应用环境,本文可作为上一篇文章的续集。随着业务的增加,网络连接的流量越来越大,合理..
分类:
其他好文 时间:
2015-01-27 11:22:54
阅读次数:
470
WAF(web应用防火墙)逐渐成为安全解决方案的标配之一。正因为有了它,许多公司甚至已经不在意web应用的漏洞。遗憾的是,并不是所有的waf都是不可绕过的!本文将向大家讲述,如何使用注入神器SQLMap绕过WAFs/IDSs。svn下载最新版本的sqlmapsvn checkouthttps://s...
分类:
数据库 时间:
2015-01-27 01:48:07
阅读次数:
182
差不多,一个星期多的时间都过去了。但是还是感觉时间过的太快,总是不禁的让人长叹一声,关于nginx和(naxsi)WAF这个问题,也算是只走出了第一步,在遇到了各种乱七八糟的错误之后总算是想要静下心来写一些自己这小段时间里的一些感受或者是算不上总结的总结。参考的文章也很多,我在这里把所有的东西都融....
分类:
其他好文 时间:
2015-01-26 15:05:16
阅读次数:
228
这几天还是一直在搭建nginx,并且要在nginx的基础之上配置naxsi(WAF防火墙)并使它生效,但是随之而来的问题也会有很多,也许因为我是个新手,所以遇到的问题要多,不解的问题也要很多,不知道又没有一刻你为你在学习Linux的时候没有专心的研究过这些问题而感到有些遗憾。好了,下面我来说一下我....
分类:
其他好文 时间:
2015-01-23 12:59:58
阅读次数:
275
0×01开场白这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家。可 能在大家眼中WAF(Web应用防火墙)就是“不要脸”的代名词。如果没有他,我们的“世界”可能会更加美好。但是事与愿违。没有它,你让各大网站怎么 活。但是呢,我是站在你们的这一边的,所以,今天我们就来谈谈如何绕过WA...
分类:
其他好文 时间:
2015-01-20 15:36:42
阅读次数:
180
目前安全测试的软件越来越多,也越来越强大,越来越多的人成为[黑客],今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对....
分类:
其他好文 时间:
2015-01-17 20:41:20
阅读次数:
229
