摘要:
当所有的系统安全防御做好后,剩下恐怕就是SQL注入,跨站攻击等等web应用层防御了,这也是广大站长最困扰的东东了,几日前写的“安全宝构架技术猜测与高级网络安全防御”讲解了一种最简单的高性能防御方方法,根据自己的情况稍微修改下,就可以应付大部分的攻击了,可是就万事大吉了吗? 首先我们回顾下网上牛人是怎么突破waf防御:1.大小写绕过这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。2.简单编码绕过比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用U也就是U的16进制编码来代替U,union写成 Un. 阅读全文