记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

用ModSecurity启动WAF的一次小试

在CfgMgmtCamp期间,我参加了FranziskaBühler(@bufrasch)主题为《WAF——您的DevOps pipeline的朋友?》的演讲。她谈到了Web应用程序防火墙(WAF)和OWASP的核心规则集(CRS)。 考虑到我自己经历的这类安全性事件,我决定尝试使用ModSecurity启动Web应用程序,并在我自己的测试环境中运行。 我的测试环境由一台NGINX的CentOS8设备组成,结果比我想象的要难一些。 ModSecurity模块是Apache Web服务器的标准可用模块,我本来应该选择它的。但是我喜欢挑战,所以就换成了CentOS8和NGINX。 在网络上搜索时,我发现了一些资源,虽然不是全部,但是对我有很大帮助,这里给大家参考一下。 在CentOS7上编译ModSecur
发布时间:2020-02-22 11:54 | 阅读:2066 | 评论:0 | 标签:WEB安全 CRS modsecurity waf WAF

RSA 创新沙盒盘点| Sqreen——WAF和RASP综合解决方案

2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。前不久,RSAC官方宣布了最终入选今年的创新沙盒十强初创公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是:Sqreen。Sqreen公司是一家来自美国的网络安全初创公司,总部在美国湾区,公司创立于2015年,目前完成三轮融资,最近是A轮融资,累积金额1800万美元。其创始团队中CEO为Pierre Betouin,CTO为Jean-Baptiste Aviat,都
发布时间:2020-02-19 15:58 | 阅读:1760 | 评论:0 | 标签:厂商供稿 RSA 绿盟科技 WAF

足不出户上线云WAF,战“疫”时期心不慌——安全帮云WAF免费试用

作者:安全帮 尽管2020年的开头不太美好,新型肺炎疫情让大家的心头都蒙上了一层厚重的雾霾,但国人的自救和来自四面八方的援助仿佛一把把扇子,每天都在扇走雾霾,准备迎接即将到来的春天。为助力打赢这场疫情防控阻击战,安全帮响应国家号召已开启远程办公模式,技术人员实时在线,第一时间提供支持。同时,安全帮云WAF也针对有需求的客户,提供免费试用1个月的服务(试用名额10名,报名截止时间2020年2月29日),您可以足不出户,就将安全帮云WAF部署上线,为网站提供7*24小时全面防护。为什么可以足不出户就能开启网站防护?因为安全帮云WAF采用安全即服务(Sec-aaS)电商交付模式,无需任何软件、硬件部署,用户只需提供防护网站的域名及真实IP,且该域名已在工信部备案,只要IP地址可达均可防护。安全帮云WAF有哪些功能?1
发布时间:2020-02-11 16:17 | 阅读:4822 | 评论:0 | 标签:抗疫专栏 安全帮 WAF

本文从现代WAF的基本原理讲起,涵盖WAF指纹识别、多种WAF绕过技术(下)

今天我们来接着上一篇,讲讲WAF绕过技术的其他几个方面。Unicode标准化让Unicode标准化是Unicode的一个功能,用于比较看起来相似的Unicode符号。例如,符号“ª”和“ᵃ”有不同的代码,但肉眼看起来非常相似。标准化之后他们都将看起来像一个简单的'a',并且被认为是相同的。标准化允许将一些复杂的unicode符号转换为更简单的代替符号。有一个Unicode规范化表,其中包含所有Unicode符号及其可能的规范化。使用它,你可以制作不同的有效载荷,并将它们与其他方法结合起来。尽管如此,它并不适用于所有web应用程序,并且非常依赖于运行环境。例如,在上表中,我们可以看到符号<和&l
发布时间:2019-07-30 12:25 | 阅读:53118 | 评论:0 | 标签:Web安全 WAF

本文从现代WAF的基本原理讲起,涵盖WAF指纹识别、多种WAF绕过技术(上)

前言WAF(Web应用防护系统)最近变得非常流行,针对从小型企业到大型企业的不同客户,WAF供应商也设计了许多有针对性的解决方案。 WAF之所以很受欢迎,是因为它是保护Web应用程序的复杂解决方案,涵盖了所有防护任务。这就是为什么Web应用程序开发人员可以在某些安全方面依赖WAF的原因。尽管如此,WAF还是存在某些漏洞,它并不完美。那么,WAF应该如何证明它在项目中的实现是合理的呢?它的主要功能是根据WAF的分析,检测和阻止任何有异常或攻击向量的请求。这种分析不能妨碍合法用户与web应用程序的交互,同时必须准确、及时地检测到任何攻击企图。为了实现这些功能,WAF开发人员使用正则表达式、标签器、行为分析、信誉分析,当然还
发布时间:2019-07-23 12:25 | 阅读:82651 | 评论:0 | 标签:Web安全 WAF

基于openresty实现透明部署动态口令功能

*本文原创作者:chenjc,本文属FreeBuf原创奖励计划,未经许可禁止转载 今天来讲讲基于openresty来实现透明部署动态口令功能,动态口令的基础概念这里就不讲了,网上的介绍很多,下面直入正题。 企业内部系统部署方案 通过在原有的业务系统上,部署WAF来反向代理业务请求,从而实现透明部署动态口令功能。 架构图如下: WAF在接收到用户提交的特定请求时,会获取用户密码后六位,即动态口令的值,在对动态口令进行校验后,如果正确则重写该请求,将请求中的后六位删除再转发到业务系统,如果失败则丢弃该请求并提示。 通过以上方式,无需对原系统的代码进行任何修改,即可实现部署动态口令功能的效果。 实战: 新建文件 waf_otp_rule.json 内容如下: [ { "ru
发布时间:2017-10-29 19:00 | 阅读:129203 | 评论:0 | 标签:网络安全 Openresty waf web安全 企业安全 动态口令

Fortinet再度入围Gartner Web应用防火墙挑战者象限

随着互联网的发展,与Web有关的攻击手段越来越多,因此Web安全越来越受重视。Web应用防火墙(WAF)正是被设计用来保护众多提供Web服务的应用系统,免遭SQL注入,XSS跨站脚本等攻击手段,保护企业的Web服务得以正常运行。同时,WAF也是PCI-DSS(支付卡行业数据安全标准)合规中所要求的信用卡交易信息安全保护的工具。 WAF在网络安全中的作用正在被越来越多的企业与组织机构所重视并纳入部署。Fortinet FortiWeb防火墙经过多年的发展,已经成为继FortiGate防火墙与FortiMail邮件安全网关以外的第三大产品线,并再度入围今年Gartner Web应用防火墙 “挑战者”象限。另外,Gartner在报告中提到FortiWeb的能力表现时着重提到了三个方面。一是FortiWeb依靠Fort
发布时间:2017-08-10 01:05 | 阅读:267068 | 评论:0 | 标签:行业动态 Fortinet WAF 魔力象限 防火墙

有了防火墙、IPS、WAF 还需要数据库审计?

“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。防火墙网络防火墙(Firewall)是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统,正如小区中的岗亭,人员、车辆进出都需要经过岗亭的检查,计算机流入流出的所有网络通信均要经过网络防火墙。网络防火墙对流经它的网络通信信息进行扫描,避免一些攻击行为在目标计算机上被执行。网络防火墙作为访问控制设备,主要工作在OSI模型三层,基于IP报文进行检测,通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP
发布时间:2017-07-17 22:35 | 阅读:121358 | 评论:0 | 标签:技术产品 WAF 数据库审计 昂楷科技 防火墙

WAF自动化暴破(绕过)脚本xwaf

_ ___ _____ ____ | |/_/ | /| / / _ | / __/ _. < | |/ |/ / __ |/ _/ /_/|_| |__/|__/_/ |_/_/ xwaf xwaf是一个python写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,自动暴破waf Disclaimer [!] lega
发布时间:2017-02-22 13:20 | 阅读:127365 | 评论:0 | 标签:工具 waf 自动化暴破脚本

WAF与威胁情报 参加 RSA 2017 的一些感悟

一款产品的发展,都是从解决基础问题进化到解决复杂问题,是一个由粗到精的过程。 本周二召开的 RSA 2017(美国)展会上,盛邦安全CEO权小文远程在线接受媒体采访,谈论了他对此次展会上技术产品和国内外安全产业的一些看法。 WAF要更加精细和准确 盛邦是一家专注于Web安全的厂商,因此我们格外关注这方面的同行。Imperva在全球是最好的WAF厂商之一,目前它的WAF产品正在往企业级延“深”,做得越来越精细。 我们知道,一切技术都需要在业务与安全之间取得平衡。因为企业的困难在于这两者之间的选择,要么不放过(无法进行业务),要么全放过(不安全)。所以,安全技术的好坏就在于是否能够做到精细和准确,而Imperva的核心竞争力就是能够做到更加精确和有效的判断控制。 盛邦安全也在遵循这种思路和做法,通过把攻击行为拆分
发布时间:2017-02-16 16:30 | 阅读:122209 | 评论:0 | 标签:牛闻牛评 RSA WAF 威胁情报 盛邦安全

Tengine WAF 实践

0x00 前言 对于WAF大家都不陌生,很多公司都有自研waf,基本是往智能化、集群化发展。但还是会存在一些细微的场合,是这些大型waf覆盖不到的,这时候就需要一款轻巧灵便又简易高效的waf。 Tengine自nginx发展而来,是源自淘宝的开源项目,新增了很多高级功能和特性。 基于tengine的防攻击模块,最初我尝试了mod-security,但有一个bug, 在大并发的时候狂吃内存,直至拖垮应用,不知道这个问题现在解决没有。 后来转向ngx_lua_waf(感谢loveshell),并在此基础上做了部分改良, 觉得效果不错,就推荐给大家。 0x01 部署 部署简单,拿来就能用。整个工程是基于centos6.x,已经编译好了。 如果是其他系统,需要重新编译一遍tengine,使支持lua模块。 下载 ht
发布时间:2016-12-22 04:35 | 阅读:333301 | 评论:152 | 标签:网络安全 Tengine Tengine WAF waf

双剑合璧保障数据库安全

  烽火台已经和大家接触了有段日子了,相信通过前面十几台的介绍,大家已经对它的功能、特点有了比较深的了解。今天的主题是数据库安全,借着这个机会给大家介绍下我们的烽火台和锐御WAF如何双剑合璧来保障数据库安全。 数据是Web应用的核心资源,存放数据的数据库也是一个非常重要的资产,而数据库是否真的安全呢,其实不然,根据调查2015年新发现的数据库漏洞统计众多,其中mysql新发现了47个漏洞占据了总数的62%、oracle新发现了14个漏洞占据了总数的18%,这两种数据库是业界使用最广泛的,每年仍能新发现这么多的漏洞信息,由此可见数据库安全隐患还是非常大的。 数据库存在如此严重的威胁,面对这些威胁盛邦安全对数据库的安全如何保障呢? 做好数据库安全的第一点是要做好日常的安全检查,可以使用烽火台对数据库资产
发布时间:2016-12-16 22:35 | 阅读:109515 | 评论:0 | 标签:技术产品 WAF 数据库安全 盛邦安全

WAFNinja:灵活的WAF自动化Fuzz工具

WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。 工具简介 这款工具里有许多的攻击payload和用于fuzz的字符串,都储存在附带的sqlite数据库文件里。另外,WAFNinja支持HTTP的GET和POST请求,也支持带上cookie。当然,必要的时候,我们还可以设置代理。 大致用法: wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ... 下面给出部分案例: fuzz: python wafninja.py fuzz -u "http://www.target.com/in
发布时间:2016-11-30 16:45 | 阅读:160619 | 评论:0 | 标签:工具 fuzz payload SQLite waf

Web应用防火墙(WAF)竞品分析

* 本文原创作者:bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载0×00、前言WAF(Web Application Firewall)对于搞web渗透测试的甲方安全运维工程师、众测平台的白帽子、乙方web渗透工程师、搞黑产的blackhat是个并不陌生的web安全防护手段。在工作中或多或少涉及到这方面的相关知识,那么,从产品的角度上对WAF做竞品分析十分有必要,可以帮助用户更好的理解WAF产品功能,同时,也为WAF厂商指明了研发方向。以下站在安全产品经理的角度上,做的WAF竞品分析,包含:行业现状分析、产品功能分析、交互设计分析、运营及推广策略(偏重PR)。0×01、行业现状分析通过行业现状分析,我们可以更好的把握住市场趋势,研究WAF细分领域市场。
发布时间:2016-10-08 20:20 | 阅读:154259 | 评论:0 | 标签:WEB安全 waf 防火墙

浅析WAF下的SQLi防御绕过

0x00 几个月前在一个SRC的一个夺旗赛看了一下,题目里遇到了他们用自己的云waf保护起来的靶机,不禁心里为出题人鼓掌。直接对靶机奉上绕过策略当然有点蠢萌,不过作为探索研究决定继续往下看了看,当时运气不错,一顿测试后还真的找到了一个sql injection的bypass方法过了那题,觉得这个简单的绕过策略他们应该能抓到,等补了再写博客。 结果。。。这两天聊到云waf想起这件事来。去主站看了一下,发现和上次测试区别是防御规则加上了web客户端指纹,发现恶意以后直接长时间屏蔽掉来自这个web客户端的请求。然而上次用的方法并没有被补上,本来想把payload作为绕过实例的,现在只好略过这个具体方法写思路了。正巧前段时间看到锁师兄在ali峰会上讲的waf防御的非主流技术,那记录一下测试思路和友情吹一波锁师兄。 0x
发布时间:2016-08-19 11:20 | 阅读:126815 | 评论:0 | 标签:Web安全 bypass sql injection sqli waf waf绕过 防御绕过

识别WEB应用防火墙(WAF)?这个工具能帮到你

WAFW00F可以提取Web应用防火墙的指纹,识别WAF产品类型。WAFW00F是怎样工作的?为了实现这一目的,WAFW00F会执行如下操作:1、发送正常的HTTP请求,然后分析响应,这可以识别出很多WAF。2、如果不成功,它会发送一些(可能是恶意的)HTTP请求,使用简单的逻辑推断是哪一个WAF。3、如果这也不成功,它会分析之前返回的响应,使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应了我们的攻击。要了解更多,请查看源代码。它能检测什么?它可以检测很多WAF。想要查看它能检测哪些WAF,以-l参数执行WAFW00F,在写这篇文章的时候,输出如下:$ ./wafw00f -l        &nbs
发布时间:2016-05-14 00:00 | 阅读:104593 | 评论:0 | 标签:工具 waf WAFW00F 防火墙

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云