黑客是怎么绕过waf的

发表于 2014年04月07日
周边

前言

今年CNCERT年会上面seay大牛的PPT，详细的分析了WAF的现状，WAF处理数据包的原理和过程以及WAF绕过方法。

WAF的现状：

1.太多数WAF能够拦截较为普通的WEB攻击
2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力
3.基本所有的WAF都存在策略性绕过
4.由于waf的业务限制等各种原因导致存在通用绕过

WAF绕过方法总结：

1.WAF逻辑漏洞及白名单阶段的绕过
2.WAF数据包解析阶段的绕过(通用型绕过)
3.WAF规则策略阶段的绕过

PPT下载

http://pan.baidu.com/share/link?shareid=1423050346&uk=4045637737

标签：WAF 原文连接：黑客是怎么绕过waf的 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

家庭摄像头会遭遇攻击吗? OpenSSL严重安全漏洞专文<附POC等等>

maccms v8 80w字符远程命令执行（RCE）漏洞

maccms v8 80w字符远程命令执行（RCE）漏洞

AntSword（蚁剑）UA修改

AntSword（蚁剑）UA修改

使用XOR异或绕过WAF拦截：XORpass

使用XOR异或绕过WAF拦截：XORpass

浅谈Nginx Lua安全应用示例：后门/监听/挂马等

浅谈Nginx Lua安全应用示例：后门/监听/挂马等

一个用于伪造IP地址进行爆破的BurpSuite插件：BurpFakeIP

一个用于伪造IP地址进行爆破的BurpSuite插件：BurpFakeIP

BurpSuite IP代理扩展，使用AWS API网关动态更改请求：IPRotate_Burp_Extension

BurpSuite IP代理扩展，使用AWS API网关动态更改请求：IPRotate_Burp_Extension

CaidaoMitmProxy：基于HTTP代理中转菜刀过WAF

CaidaoMitmProxy：基于HTTP代理中转菜刀过WAF

利用PHP反序列化免杀D盾、安全狗等WAF软件

利用PHP反序列化免杀D盾、安全狗等WAF软件

如何显示或隐藏在 Flutter 中输入的密码

如何显示或隐藏在 Flutter 中输入的密码

tcpdf中增加字体的正确方式

tcpdf中增加字体的正确方式

解决html2canvas+jspdf 生成pdf 模糊的问题

解决html2canvas+jspdf 生成pdf 模糊的问题

中华人民共和国民法典在线版电子版

中华人民共和国民法典在线版电子版

给互联网人的反侦查手册 2.0

给互联网人的反侦查手册 2.0

Xcode 无法找到和创建 iOS Simulators

Xcode 无法找到和创建 iOS Simulators

使用 Flutter InAppWebView 创建 WebView 内容拦截器

使用 Flutter InAppWebView 创建 WebView 内容拦截器

绕过 YouTube 不允许的广告拦截器

绕过 YouTube 不允许的广告拦截器