WAF绕过-漏洞发现-AWVS+Xray+Goby+sqlmap-绕过waf
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
WAF(Web应用防火墙)通过HTTP/HTTPS安全策略保护web应用,分为软件型、硬件型、云WAF和内置WAF。常见的绕过技术包括伪造UA头和使用代理池。文中提到多种WAF产品及检测工具,强调技术信息仅供参考,需遵守法律。
🎯
关键要点
- WAF(Web应用防火墙)通过HTTP/HTTPS安全策略保护web应用。
- WAF分为软件型、硬件型、云WAF和内置WAF四种类型。
- 软件型WAF安装在服务器上,可以检测webshell和文件创建等。
- 硬件型WAF部署在链路中,可以拦截恶意流量或在旁路监听模式下记录攻击。
- 云WAF以反向代理形式工作,过滤请求数据后再传给服务器。
- 内置WAF直接在网站代码中进行过滤,如参数强制转换和敏感词检测。
- 常见的WAF识别工具包括Wafw00f和图像识别。
- 常见的WAF产品包括绿盟、安恒、启明星辰(硬件型),ModSecurity、Naxsi、安全狗(软件型),阿里云、腾讯云(云WAF)。
- 常规WAF检测技术包括正则匹配、机器语言和行为分析。
- 通过伪造UA头可以绕过安全狗的爬虫白名单。
- 使用代理池可以绕过宝塔防火墙,适用于AWVS、Xray、Goby和Sqlmap等工具。
- 文章提供的技术信息仅供参考,读者需遵守法律并自行判断信息的时效性。
➡️
