在網絡安全2.0開局之年的2014年,人們對下一代安全防御體系,應該說是既憧憬又迷茫,既期盼又陌生,既感受到了傳統安全體系的不足、又對嚴峻的安全新形勢有點不知所措。 轉眼短短四年后的2018年,我們再來看看下一代安全防御體系,不僅發展趨勢與方向已經得到了共識,思路、方法、技術也是日趨完善成熟 ...
本篇文章介紹如何從常規攻擊的防御能力來評測一款WAF。一共覆蓋了十六種攻擊類型,每種類型均從利用場景 攻擊操作的目的 ,注入點 漏洞產生的地方,比如說大多數WAF都會較全面地覆蓋來自GET請求的攻擊,有選擇地覆蓋來自POST請求的攻擊而忽略來自請求頭的攻擊 和繞過方式來評測,最后附上評測代碼。 一 SQL注入 注入 . 利用場景 從攻擊者進行SQL注入的階段來看,一般分為探測與攻擊兩個階段 p.s ...
2015-01-29 12:02 0 4336 推薦指數:
在網絡安全2.0開局之年的2014年,人們對下一代安全防御體系,應該說是既憧憬又迷茫,既期盼又陌生,既感受到了傳統安全體系的不足、又對嚴峻的安全新形勢有點不知所措。 轉眼短短四年后的2018年,我們再來看看下一代安全防御體系,不僅發展趨勢與方向已經得到了共識,思路、方法、技術也是日趨完善成熟 ...
0 前言 ModSecurity是一個開源的跨平台Web應用程序防火牆(WAF)引擎,用於Apache,IIS和Nginx,由Trustwave的SpiderLabs開發。作為WAF產品,ModSecurity專門關注HTTP流量,當發出HTTP請求時,ModSecurity檢查請求的所有 ...
0x00 前言 ngx_lua_waf是一款基於ngx_lua的web應用防火牆,使用簡單,高性能、輕量級。默認防御規則在wafconf目錄中,摘錄幾條核心的SQL注入防御規則: 這邊主要分享三種另類思路,Bypass ngx_lua_waf SQL注入防御。 0x01 ...
那么幾種,但是我會從防御的方面展示WAF規則的強大。 筆者再次強調,如果你只是想學習WAF的繞 ...
遇到的問題 今天用orbslam2跑euroc數據集,將結果和真實軌跡用evo測評,發現差別特別大: 最后發現兩組數據沒有對齊,evo提供了自動對齊與尺度校正功能,正確的用法如下:(需要指定參 ...
評測Loki日志工具 目錄 評測Loki日志工具 部署Loki 配置grafana 總結: 優勢: 劣勢: 本文僅對Loki進行簡單評測,不涉及原理和細節。 部署Loki ...
0x00 前言 X-WAF是一款適用中、小企業的雲WAF系統,讓中、小企業也可以非常方便地擁有自己的免費雲WAF。 本文從代碼出發,一步步理解WAF的工作原理,多姿勢進行WAF Bypass。 0x01 環境搭建 官網:https://waf.xsec.io github源碼 ...
waf python build 工具使用流程 waf 的 build 理念 build 了之后,可以跟蹤到 ${SRC} 和 ${TGT} 有關聯的文件,只有 ${SRC} 被修改過,在下次build的時候才會重新 build 這個文件,想想如果一個 project 非常大,在測試過程 ...