根据国际互联网安全数据中心的预测,到2020年,数据泄露的损失可能超过1.5亿美元。随着数据泄露和网络攻击成本的上升,网络安全已成为董事会讨论的空前规模。在这个互联互通的在线世界中,Web应用程序安全性是任何公司整体网络安全性的基石。 在应用程序安全方面,基于Web应用程序防火墙(WAF)的保护已经 ...
分类:
其他好文 时间:
2020-02-28 22:27:27
阅读次数:
55
Less-29 第29关被称为世界上最好的WAF,但我们直接开始做的时候,发现它与第1关一样,这显然是不对的。这一次29-32关在其他地方,同时还需要配置下环境 配置jspstudy环境 sqli-labs-master文件夹下面还有tomcat文件,这才是真正的关卡,里面的jspstudy需要搭建 ...
分类:
数据库 时间:
2020-02-26 23:11:50
阅读次数:
112
哈希和红黑树的详细教程很多,但初学者往往云里雾里,不知道实战项目该用谁,今天笔者就从结合hihttps这个开源waf的源码,从网络安全角度来对比一下哈希数据结构和红黑树的应用场景。
分类:
Web程序 时间:
2020-02-24 22:23:14
阅读次数:
97
正向代理 正向代理类似一个跳板机,代理访问外部资源。 举个例子: 我是一个用户,我访问不了某网站,但是我能访问一个代理服务器,这个代理服务器呢,他能访问那个我不能访问的网站,于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容,代理服务器去取回来,然后返回给我。从网站的角度,只在代理服务器来取 ...
分类:
其他好文 时间:
2020-02-23 09:26:25
阅读次数:
93
中心主题Iptables及Firewalld加固服务器安全信息安全概述系统安全策略SSH端口修改,SUDO,禁用管理员登录文件指纹数据安全加密认证selinux,自身程序用于自身文件的访问,修改删除监控网络防火墙应用安全防火墙WAFWAF=>WebApplicationFirewall,可以用来屏蔽常见的网站漏洞***,如SQL注入,XML注入、XSS等。一般针对的是应用层而非网络层的***,从
分类:
其他好文 时间:
2020-02-19 00:55:24
阅读次数:
114
0x01简介 XSStrike 是一款用于探测并利用XSS漏洞的脚本 XSStrike目前所提供的产品特性: 对参数进行模糊测试之后构建合适的payload 使用payload对参数进行穷举匹配 内置爬虫功能 检测并尝试绕过WAF 同时支持GET及POST方式 大多数payload都是由作者精心构造 ...
分类:
其他好文 时间:
2020-02-19 00:36:26
阅读次数:
888
一、WAFの透明流模式 1)首先先配置WAF的网络,配置一个网桥接口,设置IP便于带内管理。 2)当然,如果需要不同网段之间都能够管理的话,就得需要在WAF设备上面配置一条出去到自己网络网关的路由。保证流量回回到网络中,因为WAF本身是没有路由出去的。 3)将物理接口划入到新添加的网桥中,确保该物理 ...
分类:
其他好文 时间:
2020-02-15 15:21:46
阅读次数:
95
WAF:有硬件和软件类型。 常见的软WAF,常见:安全狗、云锁、云盾、护卫神。 SQL注入的绕过: WAF核心机制就是正则匹配。 通过正则匹配,如果符合规则,就拦截。 比如sql注入中and 1=1被拦截。 可尝试大小写绕过:And 1=1 编码绕过: 因为WAF 获取数据后不会解码。如&=>%26 ...
分类:
其他好文 时间:
2020-02-12 12:35:28
阅读次数:
122
目录: (1)easy_calc 题目解析: easy_calc 涉及 知识点: (1)php字符串解析特性绕过WAF (2)HTTP请求走私攻击 再贴一个学习链接 (3)取反操作 ~%D1 == '.' (46+209=255) ~$D0 == '/' (47+208=255) 其余ascii码类 ...
分类:
其他好文 时间:
2020-02-07 17:11:28
阅读次数:
113
继续补sqli的题 这道题与之前的题的区别是在第二部分中加了一道waf,所以需要特殊的手段来进行注入。 题目来源:http://123.206.87.240:9004/1ndex.php?id=1 第一部分 通过改变id值我们可以看页面内容的变化。5时提醒可以注入,6以后开始报error: 构造1:... ...
分类:
其他好文 时间:
2020-02-06 13:02:46
阅读次数:
100