随笔分类 - WAF攻防
摘要:WAF攻防-漏洞利用 定义 在我们进行信息搜集和漏洞发现之后,接下来就要对发现的漏洞进行利用。在利用的过程中,WAF就会根据不同情况进行拦截。 在这里,我们对WEB通用漏洞绕过WAF这一层面进行讨论。 SQL注入 一篇文章:https://www.cnblogs.com/cute-puli/p/11
阅读全文
摘要:WAF攻防-漏洞发现 定义 在做好信息搜集之后,我们接下来就要对目标网站进行漏洞扫描(漏洞发现)。在进行漏洞扫描的过程中,WAF会通过以下三个方面来进行拦截: 速度流量问题:如果工具扫描(请求)的速度过快,那么就会被WAF拦截。 工具的指纹被识别:在扫描漏洞的过程中,WAF会查看流经该网站的数据包,
阅读全文
摘要:WAF攻防-权限控制 定义 当我们做好信息搜集、漏洞发现、漏洞利用之后,接下来我们很有可能就要上传WebShell来达到对目标计算机的权限控制。 一般来讲,上传WebShell分为两个阶段: 将WebShell上传到目标计算机 通过诸如菜刀、哥斯拉、冰蝎、蚁剑、天蝎等工具来连接WebShell,入侵
阅读全文
摘要:WAF攻防-信息搜集 定义 Web Application Firewall(web 应用防火墙),一种公认的说法是“web 应用防火墙通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 web 应用提供保护的一款产品。 需要说明:WAF是很难进行绕过的 注:WAF只会拦截HTTP/HTT
阅读全文
