本文已参与「新人创作礼」活动,一起开启掘金创作之路。
WAF信息
什么是WAF?
Web Application Firewall(web应用防火墙),一种公认的说法是“web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。
基本可以分为以下4种
软件型WAF
以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有webshell,是否有文件被创建等。
硬件型WAF
以硬件形式部署在链路中,支持多种部署方式。当串联到链路上时可以拦截恶意流量,在旁路监听模式时只记录攻击但是不进行拦截。
云 WAF
一般以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过WAF主机,在WAF主机对数据进行过滤后再传给服务器
网站内置的WAF
就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的
识别WAF
看图识别
https://blog.csdn.net/Dome_/article/details/109262816
脚本识别
https://github.com/EnableSecurity/wafw00f
主动与被动扫描
我找小明【主动扫描】
我让小红去找小明【被动扫描】
主动扫描就是,对方知道谁找到他
而被动扫描,通过别人或者其他平台等等去找小明,对方不知道我是谁【借刀杀人】
为什么会被WAF拦截
- 请求速度过快【跑自动,跑工具】
- 直接通过IP访问或者添加端口访问
- 存在危害操作【修复url,修改请求包等等】
最简单的绕过WAF的方法
- 开代理【不断更换IP】
- 该UA头,蜘蛛头【不太推荐】
各大搜索引擎爬虫 User-Agent
http://www.webkaka.com/tutorial/zhanzhang/2017/061068/
