- 综合排序
- 最热优先
- 最新优先
- 来自专栏debugeeker的专栏
WAF专题2--WAF部署模式
WAF也是防火墙,那么它应该是部署在哪里呢?在部署上,它和传统防火墙有什么区别呢? 传统防火墙处理的消息格式大多是格式化,基本上内容都是固定或者索引方式。 而WAF处理的消息是文本,是非格式化消息,都是可变的。在处理这两种不同的消息格式,在性能上的消耗相差非常大。
2.4K10发布于 2019-06-14 - 来自专栏IT运维技术圈
推荐一个超级牛皮的免费WAF
大家好,波哥又来给大家推荐好东西啦! 欢迎大家在评论区留言评论自己想了解的工具、方向或职业等互联网相关内容,点赞和推荐多的,波哥会优先安排解答! 关注波哥 项目简介 堡塔云WAF(aaWAF)最近在GitHub上悄悄火了!作为aaPanel团队亲儿子,这个开源免费的网站防护墙就像给你的网站请了个24小时保镖。 悄悄告诉你,它已经服务过上千万真实用户,相当于网站安全领域的"国民级"产品了~ 核心亮点 这个WAF最聪明的地方在于"中间商"模式——所有网站流量都要先过它这关,就像给网站加了道智能安检门。 手把手安装指南 小白也能秒上手的两种姿势: 在线安装(推荐): 连上服务器后复制粘贴这条魔法指令: URL=https://download.bt.cn/cloudwaf/scripts/install_cloudwaf.sh
1.2K10编辑于 2025-05-08 - 来自专栏debugeeker的专栏
网页防篡改专题2---WAF方式
一般站点都在webserver前面加上waf,统一管理站点所有域名的防护。 如果这个cache是在waf上实现,可以有这样的优势: 降低运维成本,可以统一对所有站点进行网页防篡改。 提高站点响应速度,由于请求到waf直接可以收到响应,不需要在后面webserver了。 那么waf上的cache是如何同步呢?一般同步会有三种方式: 请求触发。 waf定时对所有域名统一同步,或者定时对每个域名同步,或者对单个域名单个路径同步。 操作同步。运维人员对某个域名配置网页防篡改,waf对该域名同步。
2K31发布于 2019-08-01 - 来自专栏debugeeker的专栏
WAF专题1--WAF功能
WAF全称叫Web Application Firewall,和传统防火墙的区别是,它是工作在应用层的防火墙,主要对web请求/响应进行防护。那么WAF有什么功能呢? 防火墙都是防御性的产品,有防就有攻,要了解WAF有什么功能,就要从攻击者的角度去思考。 攻击的目的要么是为了利益,要么是为了炫技。目前攻击者大多都是闷声发大财,很少会为了炫技而惹上麻烦。
2.3K10发布于 2019-06-14 - 来自专栏渗透云笔记
WAF的介绍与WAF绕过原理
aaaa%01bbs*/select #Level-2 union/*aaaaaaaaaaaaaaaaaaaaaaaa*/select #Level-3 /*! 空白符 %09,%0A,%0B,%0D,%20 #正则的空白符 union%250Cselect #Example-1 (%25=% %0c=空白符) union%25A0select #Example-2 2520() concat/**/() concat%250c() concat%250() 浮点数词法解析 select * from users where id=8E0union select 1,2,3,4,5,6,7,8,9,0 select * from users where id=8.0union select 1,2,3,4,5,6,7,8,9,0 select * from users where id=\Nunion select 1,2,3,4,5,6,7,8,9.0 利用 error-bases进行 SQL 注入(err0r-bases SQL 注入函数容易被忽略) extractvalue(1, concat
6.5K20发布于 2019-11-11 - 来自专栏Timeline Sec
BUG赏金 | Unicode与WAF—XSS WAF绕过
图片来源于网络 通过标题,您可能会知道这是有关使用UNICODE进行 XSS WAF绕过的文章。因此,让我们给你一个关于我正在测试的应用程序的小想法。 因此,存在WAF。 为了绕开它,我开始模糊测试,结果是: xss \" onclick= \" alert(1) ==> WAF xss \" xss = \" alert(1) ==> WAF xss 因此,我们唯一的方法是绕过WAF 在标记中使用事件属性。我尝试通过fuzzdb使用html-event-attributes.txt 进行暴力破解。 现在,因为这是一个POST请求,并且没有CSRF保护,所以我将CSRF + XSS = P2的存储型XSS链接到已认证的用户: ?
2.3K41发布于 2019-12-23 - 来自专栏debugeeker的专栏
WAF专题3--WAF工作模式
由于WAF一般和业务系统是串联的,并且还是部署在业务系统前面。如果采用反向代理部署模式,假设WAF出现故障,那么会导致单个或者多个站点不可用。这意味着WAF的功能必须是随时可以关闭的。 一个WAF往往需要同时防护多个站点,如果把整个WAF关闭,是会导致整体业务群都失去保护。所以,WAF的工作模式必须有对站点有随时关闭的模式。
2.2K10发布于 2019-06-14 - 来自专栏数通
细说WAF
在这篇文章中,我们将深入探讨WAF的工作原理、分类、特点和实现方式,以及如何选择和部署WAF,以帮助读者更好地理解WAF的功能和应用。 一、WAF的工作原理 WAF可以通过对Web应用程序的流量进行过滤和监控,识别并阻止潜在的安全威胁。 二、WAF的分类 WAF可以在多个层次对Web应用程序进行保护。 常见的WAF包括以下几种: 硬件WAF:硬件WAF通常是一种独立设备,它可以与网络交换机、路由器等设备集成,拦截来自外部网络的流量,并对Web应用程序进行保护。 云WAF:云WAF通常是一种基于云的服务,可以将Web应用程序的流量转发到云端进行处理。云WAF可以提供全球分布的节点,从而提高Web应用程序的可用性和性能。
2K10编辑于 2024-12-03 - 来自专栏雨落秋垣
雷池WAF与宝塔云WAF技术对比
配置维度雷池WAF宝塔云WAF最低硬件配置1核CPU/1GB内存/5GB磁盘2核CPU/2GB内存(小网站)推荐硬件配置2核CPU/4GB内存(高流量场景)2核CPU/4GB内存(企业级应用)操作系统支持 雷池WAF的智能语义分析引擎采用线性安全检测算法,能实现平均请求检测延迟在1毫秒级别,处理引擎误报和漏报的周期从过去的3-7天缩短至理想的2-8小时。 对于生产环境,推荐配置为2核CPU/4GB内存,能够处理中等规模的网站流量。值得注意的是,雷池WAF对CPU指令集有特定要求,必须支持SSSE3指令集,推荐支持AVX2指令集以获取更好的性能表现。 宝塔云WAF的硬件门槛略高,最小配置要求为2核CPU/2GB内存,适用于小型网站防护。官方推荐配置为2核CPU/4GB内存,这一配置能够满足大多数企业级应用的需求。 的3-7天缩短至2-8小时宝塔云WAF在0day防护方面主要依赖虚拟补丁技术和规则库更新,响应速度相对较慢。
1.4K00编辑于 2025-10-30 - 来自专栏Ms08067安全实验室
看图识WAF-搜集常见WAF拦截页面
文章来源|MS08067安全实验室讲师 (1) D盾 (2) 云锁 (3) UPUPW安全防护 (4) 宝塔网站防火墙 下列5、6、7、8、10、11配图有误 (6) 护卫神 (7) 网站安全狗 (8) 智创防火墙 (9) 360主机卫士或360webscan (10) 西数WTS-WAF (11) Naxsi WAF (12) 腾讯云 (13) 腾讯宙斯盾 (14) 百度云 (15) 华为云 (16) 网宿云 (17) 创宇盾 (18) 玄武盾 (19) 阿里云盾 (20) 360网站卫士 (21) 奇安信网站卫士 (22) 安域云WAF (23) 铱讯WAF (24) 长亭SafeLine (25) 安恒明御WAF (26) F5 BIG-IP (27) Mod_Security (28) OpenRASP (29) dotDefender (30) 未知云WAF 参考链接 https://www.mad-coding.cn/2019/12/19/waf的识别与绕过(不断补充)
3.3K31编辑于 2022-09-26 - 来自专栏debugeeker的专栏
WAF专题6--WAF规则与报表
规则配置 首先,WAF规则的定义是什么? 从前面的内容可以看到,基本上,WAF处理http分为四个阶段:请求头部,请求内容,响应头部,响应内容。 那么WAF规则就是,定义在某个阶段WAF对符合某种条件的http请求执行指定动作的条例。 根据这个,WAF规则必须要包含这些元素:过滤条件,阶段,动作 由于http消息在传输过程中会对数据进行某种编码,所以,WAF规则往往也需要定义解码器。 同时为了审计作用,WAF规则往往定义id,是否对结果记录,以及字段抽取,命中规则的严重级别 所以,一条WAF规则往往包含:id, 解码器,过滤条件,阶段,动作和日志格式,严重级别
2.1K10发布于 2019-06-14 - 来自专栏情情说
推荐2个工具
话题一转,说说今天的主角:2个工具,一个是抓包工具Charles,一个是API调试工具Postman。
3K80发布于 2018-05-11 - 来自专栏乌鸦安全
Waf识别工具和83个Waf拦截页面
英文:Web Application Firewall,简称:WAF)。 02 常见的waf分类 3.1 云waf 百度安全宝、阿里云盾、长亭雷池等 3.2 硬件waf 绿盟的、深信服的 3.3 软件waf 安全狗、D盾、云锁等 3.4 代码级waf 自己写的waf规则,防止出现注入等 ,一般是在代码里面写死的(这里是一般情况) 03 常见的waf拦截页面(83个国内外WAF) 以下截图均来自于下方GitHub,而且我也没有修改文件的名称,如果有需要,请自行前往GitHub查阅,或收藏本页面 识别工具 4.1 工具原理 识别WAF,可以在WAF指纹目录下自行编写脚本。 这类WAF识别工具的原理基本都是根据HTTP头部信息、状态码以及WAF拦截页中的图片、文字作为特征来进行检测 4.2 waf识别工具:wafw00f 下载链接地址: https://github.com
12.9K43发布于 2021-09-03 - 来自专栏西里网CSDN博客
动态防护waf
动态防护WAF是一种保护Web应用程序的安全解决方案,它通过实时监测和防御已知和未知威胁来保护网站和Web应用程序免受攻击。 动态防护WAF通常具有以下功能: 实时监测:实时监测网络流量的安全性,发现可疑活动立即采取行动。 威胁检测:检测各种威胁,包括已知和未知攻击,如恶意流量、跨站脚本攻击、SQL注入等。 通过实施动态防护WAF,企业可以降低安全风险,减少安全漏洞,保护其Web应用程序和数据免受攻击。XX
79610编辑于 2025-03-25 - 来自专栏FreeBuf
WAF产品经理眼中比较理想的WAF
WAF简介 WAF(Web Application Firewall,简称:WAF),百度百科上的定义,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品 传统WAF的不足 WAF在不少安全公司都是重要产品线,究其原因我认为有三个: 第一,绝大多数互联网公司没有足够的专职安全人员负责安全,解决安全问题是第一刚需,WAF作为入门级产品帮助企业抵御了常见的攻击行为 https普及后,流量审计想记录也记录不了了,只能表示遗憾 我理想中的WAF 首先声明,我理想中的WAF部分功能有的厂商在做了,完全实现的还没有,如果另外一个WAF产品经理说他们都实现了挑战我,我还是直接认怂算了 我一直有个观点,黑产、羊毛党(按照法律貌似不算违法,暂且叫灰产吧)也是讲究攻击成本的,只要攻击你的成本高于其他P2P、电商等网站,他们多会转向攻击攻击成本低的,人家也是讲究性价比的,能够提供基础业务防护能力就是进步 WAF阻断(这个还依赖WAF和数据库联动分析,将http会话和SQL操作关联)等。
4K101发布于 2018-02-09 - 来自专栏安全开发记录
如何做一款好的waf产品(2)
由于后台系统的种类繁多,WAF必须识别出针对这些系统的攻击,这为WAF的开发带来了很大的难处,为了使WAF的规则可以有效的抵御这些攻击,WAF必须发现出这些攻击并将变换的输入数据还原成正常的数据。 WAF支持以下的数据还原方法 1. URL解码 (如%XX) 2. 以空字节结尾的字符串(Null byte string termination),如C风格字符串。 3. 黑名单机制 WAF的黑名单定义采用了下述的机制: 1. 基于签名(Signature-based), 签名的方法通常采用关键字或是正则表达式对流量内容进行检查。(适应于业务单一场景,不采用)。 2. 升级时WAF平滑升级。 5.主动模式可以采用严格的内容检查规则方法、统计分析方法或是基于异常检测的神经网络方法。 waf规则 1. 产品在出厂时具有对已知攻击所定义的策略库。 2. 可以检测到HTTP访问控制中的暴力破解攻击(HTTP status code 401). 2. 可以检测到应用中任一部分的暴力破解攻击(对同一资源的大量访问)。 3.
95020发布于 2021-08-11 - 来自专栏腾讯云安全的专栏
AI in WAF | 腾讯云网站管家 WAF AI 引擎实践
一旦发生了网站入侵事件,问题自然而然追溯到安全团队,常见的问题是部署的 WAF 为什么没检测到入侵? 这本质上是一个 WAF 被绕过的问题。 2、基于语义分析的 Web 攻击识别: 基于语义规则的原理是在理解程序本身语言规范基础上,通过匹配攻击特征检测 Web 攻击。 将机器学习应用到 WAF 攻击检测中,理论上可以进一步提升当前传统 WAF 的能力,帮助企业安全团队从被动防护的困局中突破出来。 AI 技术在 WAF 行业中的应用也引起了“为 AI 而 AI”、“AI WAF 仅仅是噱头”的正义。 Gartner:严格评估 AI 带来的实际效益 Forrester:未见到真正的基于 AI 的 WAF 行业:每个 WAF 厂家都说自己有 AI 那么腾讯云网站管家 WAF 是如何实现技术突破?
18K01发布于 2018-07-30 - 来自专栏giantbranch's blog
自建WAF系统
/configure -j2 make -j2 sudo make install # better also add the following line to your ~/.bashrc or 下载 git clone https://github.com/unixhot/waf.git 将里面waf文件夹复制到Nginx配置文件目录 cp -rf waf /usr/local/openresty /waf/?. /openresty/nginx/conf/waf/access.lua"; 这段 nginx 配置主要是实现使用 OpenResty 的 WAF (Web Application Firewall) init_by_lua_file “/usr/local/openresty/nginx/conf/waf/init.lua”;:在 Nginx 启动时执行一次 init.lua 脚本,主要完成 WAF
1.3K00编辑于 2024-12-31 - 来自专栏Khan安全团队
Incapsula bypass WAF
<?php system("uname -a"); ?>
2.3K40编辑于 2022-04-02 - 来自专栏Ms08067安全实验室
WAF那些事儿
目前市面上常见的软件WAF有安全狗、云盾、云锁等。 2. 硬件WAF 这种WAF以硬件的形式部署在网络链路中,支持多种部署方式,如串联部署、旁路部署等。 也可以自己编写规则,编写完成后直接放在waf目录下即可。 方法2:WAFW00F识别 通过WAF指纹识别工具WAFW00F,识别Web站点的CMS或者Web容器,从而查找相关漏洞。 方法3:手工判断 在相应网站的URL后面加上最基础的测试语句,如union select 1,2,3%23,并将其放在一个不存在的参数名中。 union select 1,2,3%23 1'and 1=1 # 当提交一个正常的Payload时,WAF会识别出来,并及时阻止它访问Web容器。 那么,为什么构造出的Payload可以绕过WAF呢?主要有以下几种原因。 (1)出现安全和性能的冲突时,WAF会舍弃安全来保证功能和性能。 (2)不会使用和配置WAF,默认设置可能存在各种漏洞风险。
1.3K11编辑于 2023-12-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号