记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

基于openresty实现透明部署动态口令功能

*本文原创作者:chenjc,本文属FreeBuf原创奖励计划,未经许可禁止转载 今天来讲讲基于openresty来实现透明部署动态口令功能,动态口令的基础概念这里就不讲了,网上的介绍很多,下面直入正题。 企业内部系统部署方案 通过在原有的业务系统上,部署WAF来反向代理业务请求,从而实现透明部署动态口令功能。 架构图如下: WAF在接收到用户提交的特定请求时,会获取用户密码后六位,即动态口令的值,在对动态口令进行校验后,如果正确则重写该请求,将请求中的后六位删除再转发到业务系统,如果失败则丢弃该请求并提示。 通过以上方式,无需对原系统的代码进行任何修改,即可实现部署动态口令功能的效果。 实战: 新建文件 waf_otp_rule.json 内容如下: [ { "ru
发布时间:2017-10-29 19:00 | 阅读:102248 | 评论:0 | 标签:网络安全 Openresty waf web安全 企业安全 动态口令

Fortinet再度入围Gartner Web应用防火墙挑战者象限

随着互联网的发展,与Web有关的攻击手段越来越多,因此Web安全越来越受重视。Web应用防火墙(WAF)正是被设计用来保护众多提供Web服务的应用系统,免遭SQL注入,XSS跨站脚本等攻击手段,保护企业的Web服务得以正常运行。同时,WAF也是PCI-DSS(支付卡行业数据安全标准)合规中所要求的信用卡交易信息安全保护的工具。 WAF在网络安全中的作用正在被越来越多的企业与组织机构所重视并纳入部署。Fortinet FortiWeb防火墙经过多年的发展,已经成为继FortiGate防火墙与FortiMail邮件安全网关以外的第三大产品线,并再度入围今年Gartner Web应用防火墙 “挑战者”象限。另外,Gartner在报告中提到FortiWeb的能力表现时着重提到了三个方面。一是FortiWeb依靠Fort
发布时间:2017-08-10 01:05 | 阅读:222198 | 评论:0 | 标签:行业动态 Fortinet WAF 魔力象限 防火墙

有了防火墙、IPS、WAF 还需要数据库审计?

“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。防火墙网络防火墙(Firewall)是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统,正如小区中的岗亭,人员、车辆进出都需要经过岗亭的检查,计算机流入流出的所有网络通信均要经过网络防火墙。网络防火墙对流经它的网络通信信息进行扫描,避免一些攻击行为在目标计算机上被执行。网络防火墙作为访问控制设备,主要工作在OSI模型三层,基于IP报文进行检测,通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP
发布时间:2017-07-17 22:35 | 阅读:89855 | 评论:0 | 标签:技术产品 WAF 数据库审计 昂楷科技 防火墙

WAF自动化暴破(绕过)脚本xwaf

_ ___ _____ ____ | |/_/ | /| / / _ | / __/ _. < | |/ |/ / __ |/ _/ /_/|_| |__/|__/_/ |_/_/ xwaf xwaf是一个python写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,自动暴破waf Disclaimer [!] lega
发布时间:2017-02-22 13:20 | 阅读:104022 | 评论:0 | 标签:工具 waf 自动化暴破脚本

WAF与威胁情报 参加 RSA 2017 的一些感悟

一款产品的发展,都是从解决基础问题进化到解决复杂问题,是一个由粗到精的过程。 本周二召开的 RSA 2017(美国)展会上,盛邦安全CEO权小文远程在线接受媒体采访,谈论了他对此次展会上技术产品和国内外安全产业的一些看法。 WAF要更加精细和准确 盛邦是一家专注于Web安全的厂商,因此我们格外关注这方面的同行。Imperva在全球是最好的WAF厂商之一,目前它的WAF产品正在往企业级延“深”,做得越来越精细。 我们知道,一切技术都需要在业务与安全之间取得平衡。因为企业的困难在于这两者之间的选择,要么不放过(无法进行业务),要么全放过(不安全)。所以,安全技术的好坏就在于是否能够做到精细和准确,而Imperva的核心竞争力就是能够做到更加精确和有效的判断控制。 盛邦安全也在遵循这种思路和做法,通过把攻击行为拆分
发布时间:2017-02-16 16:30 | 阅读:98883 | 评论:0 | 标签:牛闻牛评 RSA WAF 威胁情报 盛邦安全

Tengine WAF 实践

0x00 前言 对于WAF大家都不陌生,很多公司都有自研waf,基本是往智能化、集群化发展。但还是会存在一些细微的场合,是这些大型waf覆盖不到的,这时候就需要一款轻巧灵便又简易高效的waf。 Tengine自nginx发展而来,是源自淘宝的开源项目,新增了很多高级功能和特性。 基于tengine的防攻击模块,最初我尝试了mod-security,但有一个bug, 在大并发的时候狂吃内存,直至拖垮应用,不知道这个问题现在解决没有。 后来转向ngx_lua_waf(感谢loveshell),并在此基础上做了部分改良, 觉得效果不错,就推荐给大家。 0x01 部署 部署简单,拿来就能用。整个工程是基于centos6.x,已经编译好了。 如果是其他系统,需要重新编译一遍tengine,使支持lua模块。 下载 ht
发布时间:2016-12-22 04:35 | 阅读:224048 | 评论:152 | 标签:网络安全 Tengine Tengine WAF waf

双剑合璧保障数据库安全

  烽火台已经和大家接触了有段日子了,相信通过前面十几台的介绍,大家已经对它的功能、特点有了比较深的了解。今天的主题是数据库安全,借着这个机会给大家介绍下我们的烽火台和锐御WAF如何双剑合璧来保障数据库安全。 数据是Web应用的核心资源,存放数据的数据库也是一个非常重要的资产,而数据库是否真的安全呢,其实不然,根据调查2015年新发现的数据库漏洞统计众多,其中mysql新发现了47个漏洞占据了总数的62%、oracle新发现了14个漏洞占据了总数的18%,这两种数据库是业界使用最广泛的,每年仍能新发现这么多的漏洞信息,由此可见数据库安全隐患还是非常大的。 数据库存在如此严重的威胁,面对这些威胁盛邦安全对数据库的安全如何保障呢? 做好数据库安全的第一点是要做好日常的安全检查,可以使用烽火台对数据库资产
发布时间:2016-12-16 22:35 | 阅读:90310 | 评论:0 | 标签:技术产品 WAF 数据库安全 盛邦安全

WAFNinja:灵活的WAF自动化Fuzz工具

WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。 工具简介 这款工具里有许多的攻击payload和用于fuzz的字符串,都储存在附带的sqlite数据库文件里。另外,WAFNinja支持HTTP的GET和POST请求,也支持带上cookie。当然,必要的时候,我们还可以设置代理。 大致用法: wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ... 下面给出部分案例: fuzz: python wafninja.py fuzz -u "http://www.target.com/in
发布时间:2016-11-30 16:45 | 阅读:132340 | 评论:0 | 标签:工具 fuzz payload SQLite waf

Web应用防火墙(WAF)竞品分析

* 本文原创作者:bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载0×00、前言WAF(Web Application Firewall)对于搞web渗透测试的甲方安全运维工程师、众测平台的白帽子、乙方web渗透工程师、搞黑产的blackhat是个并不陌生的web安全防护手段。在工作中或多或少涉及到这方面的相关知识,那么,从产品的角度上对WAF做竞品分析十分有必要,可以帮助用户更好的理解WAF产品功能,同时,也为WAF厂商指明了研发方向。以下站在安全产品经理的角度上,做的WAF竞品分析,包含:行业现状分析、产品功能分析、交互设计分析、运营及推广策略(偏重PR)。0×01、行业现状分析通过行业现状分析,我们可以更好的把握住市场趋势,研究WAF细分领域市场。
发布时间:2016-10-08 20:20 | 阅读:130050 | 评论:0 | 标签:WEB安全 waf 防火墙

浅析WAF下的SQLi防御绕过

0x00 几个月前在一个SRC的一个夺旗赛看了一下,题目里遇到了他们用自己的云waf保护起来的靶机,不禁心里为出题人鼓掌。直接对靶机奉上绕过策略当然有点蠢萌,不过作为探索研究决定继续往下看了看,当时运气不错,一顿测试后还真的找到了一个sql injection的bypass方法过了那题,觉得这个简单的绕过策略他们应该能抓到,等补了再写博客。 结果。。。这两天聊到云waf想起这件事来。去主站看了一下,发现和上次测试区别是防御规则加上了web客户端指纹,发现恶意以后直接长时间屏蔽掉来自这个web客户端的请求。然而上次用的方法并没有被补上,本来想把payload作为绕过实例的,现在只好略过这个具体方法写思路了。正巧前段时间看到锁师兄在ali峰会上讲的waf防御的非主流技术,那记录一下测试思路和友情吹一波锁师兄。 0x
发布时间:2016-08-19 11:20 | 阅读:104193 | 评论:0 | 标签:Web安全 bypass sql injection sqli waf waf绕过 防御绕过

识别WEB应用防火墙(WAF)?这个工具能帮到你

WAFW00F可以提取Web应用防火墙的指纹,识别WAF产品类型。WAFW00F是怎样工作的?为了实现这一目的,WAFW00F会执行如下操作:1、发送正常的HTTP请求,然后分析响应,这可以识别出很多WAF。2、如果不成功,它会发送一些(可能是恶意的)HTTP请求,使用简单的逻辑推断是哪一个WAF。3、如果这也不成功,它会分析之前返回的响应,使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应了我们的攻击。要了解更多,请查看源代码。它能检测什么?它可以检测很多WAF。想要查看它能检测哪些WAF,以-l参数执行WAFW00F,在写这篇文章的时候,输出如下:$ ./wafw00f -l        &nbs
发布时间:2016-05-14 00:00 | 阅读:78635 | 评论:0 | 标签:工具 waf WAFW00F 防火墙

Web应用安全——攻防对抗发展趋势

4月底的Struts2 S2-032让安全的江湖又掀起了一阵腥风血雨,很多网站纷纷中招,被黑客入侵造成了各种重大损失。从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业,这次也不例外。网站的Web安全一直是一个大众密切关注的方向,接下来我们聊聊这个话题。Web应用安全现状超过半数的网站Web应用数据遭受泄露、造成重大财务损失;企业网站安全事件频发、遭黑客勒索与竞争对手恶意攻击;越来越多的网站开始将业务接入到云计算服务中、充分利用云的计算优势和便利;网站的管理者都开始关注网站安全,会使用安全产品进行防护。企业面临的挑战每天曝光的Web漏洞、危害性大、影响面广,如何保持实时的更新?不断的收到大量的安全告警日志、但不知如何下手?被第三方漏洞平台曝光网站安全隐患,防不胜防
发布时间:2016-05-08 00:10 | 阅读:101418 | 评论:0 | 标签:技术产品 WAF WEB安全 阿里云

工具推荐:Raptor WAF,轻量级WEB应用防火墙

Raptor是一款采用C语言编写的WEB应用防火墙,使用DFA来阻止SQL注入、Xss目录遍历等攻击。编译&安装$ git clone https://github.com/CoolerVoid/raptor_waf$ cd raptor_waf; make; bin/raptor使用示例在80端口开启httpd服务并上传一些东西: $ bin/Raptor -h localhost -p 80 -r 8883 -w 4 -o loglog.txt复制存在漏洞的PHP代码到WEB目录:$ cp doc/test_dfa/test.php /var/www/html现在你可以在 http://localhost:8883/test.php 测试Xss攻击了
发布时间:2016-05-02 02:05 | 阅读:81490 | 评论:0 | 标签:工具 waf WEB防火墙 防火墙

Web应用防火墙:必须拥有还是面临淘汰?

Gartner的2015魔力象限图估测,全球Web应用防火墙(WAF)市场估值达4.2亿美元,年增幅24%,WAF已成为Web应用当前最流行的预防性和侦测性安全控制措施。必须拥有支付卡行业数据安全标准(PCI DSS)3.1版要求6.6建议,WAF可被部署为漏洞扫描的替代品。而国际信息系统审计协会(ISACA)的“开发运营从业者注意事项”,将WAF包括进了公司减少开支增加灵活性所需考虑的10大管家安全控制措施当中。如今,很多大中型公司都提供多种WAF解决方案,通常打包DDoS防护、内容分发网络(CDN)、应用交付控制器(ADC)和其他相关服务一起提供。亚马逊Web服务(AWS)最近也启动了自己的WAF。Gartner预测,到2020年,超过60%的公共Web应用将受到WAF的保护。然而,2015年,Gartne
发布时间:2016-03-16 01:40 | 阅读:83050 | 评论:0 | 标签:牛闻牛评 Gartner WAF 安全防护 防火墙

Gartner WAF 2015 魔力象限节选翻译

工作原因,最近开始研究主流市场的各类WAF产品。Gartner的魔力象限分析是必不可少的重要材料。节选了部分2015年度WAF领域的报告翻译了出来,给自己存个档。 —————————分割线————————————– waf市场被用户需求驱动,用户需要保护内部和公开的web应用,在web应用本地部署或者远程部署。waf部署在web服务器前面用来保护web应用,对抗内外部攻击者。也可以部署为镜像模式,收集访问日志用于合规审计和分析。waf常见的部署方式是以
发布时间:2016-02-02 22:05 | 阅读:219754 | 评论:0 | 标签:安全相关 Fortinet Gartner Imperva waf 魔力象限

为什么WAF(应用防火墙)不能确保数据库安全?

本文作者:刘再耀Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL 注入方面还是显得束手无策。所以,不要以为有了 WAF 的保护,数据库安全就万无一失了。事实上,数据库仍然存在很大的安全隐患。背景知识:什么是 WAF?‍Web 应用防火墙(WAF)是一种基础的安全保护模块,主要针对 HTTP 访问的 Web 程序保护,部署在 Web 应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。WAF 可通过定义一些常见的 SQL 注入特征码
发布时间:2015-12-04 20:10 | 阅读:93809 | 评论:0 | 标签:WEB安全 文章 waf 防火墙

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云