方法一、SecRuleRemoveById 指令:通过Rule ID禁用指定规则 方法二、SecRuleRemoveByMsg指令:通过Rule Msg禁用指定规则 方法三、url加白 :对指定路径关闭WAF检测/或只记录不拦截 ...
分类:
其他好文 时间:
2016-04-19 19:19:52
阅读次数:
683
知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 笔者前几天在做测试时输入攻击向量后页面发生了重定向甚至异常输入也是重定向怀疑其中有WAF在作怪。之前对WAF接触比较少纯粹是新手趁此科普了一下并查阅了一些绕过WAF的方法。所找到的资料中主要分为两类SQL注入和XSS绕过笔者SQL注入同样是新 ...
分类:
数据库 时间:
2016-04-17 17:31:36
阅读次数:
243
NGINX安全防护ngx_lua_waf安装说明文档作者github地址:https://github.com/loveshell/ngx_lua_waf转自作者说明文档:ngx_lua_waf是我一个基于ngx_lua的web应用防火墙。
代码很简单,开发初衷主要是使用简单,高性能和轻量级。
现在开源出来.其中包含我们的过滤规则。如果大家有..
分类:
Web程序 时间:
2016-04-14 18:10:22
阅读次数:
543
现在一些小软件,控制更新的方法一般都是HTTP读文件,判断读到的文本是否等于版本号 或者判断QQ昵称,网盘昵称等等。 以上都有自己的缺点,这里推荐一个DNS控制软件更新的后门,防ddos。 ...
分类:
其他好文 时间:
2016-04-05 22:53:49
阅读次数:
314
WAF(Web Application Firewall),中文名称叫做“Web应用防火墙 WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,我们可以很清晰地了解到:WAF是一种工作在应用层的、通 ...
分类:
其他好文 时间:
2016-03-31 16:31:25
阅读次数:
1245
服务器可能遭受的攻击
1.短信消耗
平台注册在不输入验证码的时候即可点击免费获取验证码,黑客如果通过动态IP反复输入大量手机号点击获取验证码。将导致短信短时间内大量消耗。
2.用户名输入的时候查询角色
系统登入的时候输入用户名,系统会自动查询数据库来确认角色信息,当黑客通过大量用户名输入的时候会导致数据库资源被占满导致正常的访问无法进行。
3.ddos
近几年...
分类:
其他好文 时间:
2016-03-30 17:59:12
阅读次数:
425
我们可以使用iptables来在一定程度上实现黑洞抗CC(连接耗尽)攻击的能力,详细配置如下:1.系统要求:1)LINUX内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)2)iptables版本:1.3.72.安装iptables1.3.7(http://www.n..
分类:
其他好文 时间:
2016-03-28 22:00:36
阅读次数:
296
1,sql注入2,xss3,不安全下载 code_backup.tar.gz .sql 4.隐私文件访问 .svn .git 5.弱口令6. 非授权访问 redis 7.cc攻击 性能cc攻击8.DDOS攻击 Nginx cc攻击:频率限制 不安全下载:判断后缀 非授权访问:后缀、认证 测试防护:根 ...
分类:
Web程序 时间:
2016-03-26 14:05:41
阅读次数:
208
2016年3月24日 09:34:32 星期四 ddos攻击: 一种: 随机生成ip, 去建立链接, 由于http/tcp握手协议原理, 发送应答报文时因为ip无效会导致等待重发, 这种行为可以通过电脑硬件装置拦截/清洗 二种: 通过挂马等手段控制别人电脑, 使用有效ip去疯狂访问某一个接口导致服务 ...
分类:
Web程序 时间:
2016-03-24 09:57:35
阅读次数:
156
