备案控制台
开发者社区 人工智能 文章 正文

WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

2024-06-19 13
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

信息收集常见检测:

1、脚本或工具速度流量快

2、脚本或工具的指纹被识别

3、脚本或工具的检测Payload


信息收集常见方法:

1、延迟:解决请求过快封IP的情况

2、代理池:在确保速度的情况下解决请求过快封IP的拦截

3、白名单:模拟白名单模拟WAF授权测试,解决速度及测试拦截

4、模拟用户:模拟真实用户数据包请求探针,解决WAF指纹识别


信息收集-被动扫描-黑暗引擎&三方接口

黑暗引擎:Fofa Quake Shodan zoomeye 0.zone等

其他接口:https://forum.ywhack.com/bountytips.php?getinfo


#信息收集-目录扫描-Python代理加载脚本

import requests
import time

headers={
    'Connection': 'keep-alive',
    'Cache-Control': 'max-age=0',
    'Upgrade-Insecure-Requests': '1',
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36',
    'Sec-Fetch-Dest': 'document',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
    'Sec-Fetch-Site': 'none',
    'Sec-Fetch-Mode': 'navigate',
    'Sec-Fetch-User': '?1',
    'Accept-Encoding': 'gzip, deflate, br',
    'Accept-Language': 'zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7',
   'Cookie': 'bdshare_firstime=1581597934650; PHPSESSID=ncsajdvh39qse0qlsgqokshuc4; yx_auth=dc4fq8FAEkyiAUZ54b5zl9GGStCxXoRb1TFaAaozygMiSc5uZYHjR3gCQm%2BtKNz3bcjbTi8BRgcd%2F7LvR0lHN1j319CI6x29Z2QDI38',
}

for paths in open('php_b.txt',encoding='utf-8'):
    url='http://www.testxiaodi.fun/'
    paths=paths.replace('\n','')
    urls=url+paths
    proxy = {
        'http': 'tps686.kdlapi.com:15818',
    }
    try:
        code=requests.get(urls,headers=headers,proxies=proxy).status_code
        #req=requests.get(urls, headers=headers, proxies=proxy)
        #print(urls)
        #print(req.text)
        #time.sleep()
        print(urls+'|'+str(code))
        if code==200 or code==403:
            print(urls+'|'+str(code))
    except Exception as err:
        print('connecting error')
        time.sleep(3)


信息收集-工具扫描-Awvs&Xray&Goby内置

Awvs-设置速度&加入代理

Xray-配置修改&进程转发 Proxifier

Goby-配置加入Socket代理

文章标签:
Web应用防火墙
Python
生物认证
关键词:
Web应用防火墙攻防
Web应用防火墙识别
Web应用防火墙信息
Web应用防火墙白名单
今天是几号
目录
相关文章
今天是几号
|
17天前
|
开发框架 Java .NET
WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
今天是几号
16 1
今天是几号
|
17天前
|
安全 PHP 数据安全/隐私保护
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号
16 0
潇湘信安
|
10月前
|
云安全 安全 生物认证
常见WAF进程/服务与WAF识别总结
常见WAF进程/服务与WAF识别总结
潇湘信安
192 0
小生生
|
网络安全
图文详解Web 应用防火墙查看产品信息
产品信息页向您展示当前Web应用防火墙(WAF)实例的资源详情、WAF的防护规则更新通知、功能更新通知和WAF的回源IP段。
小生生
655 0
游客wfuknido2jlqw
|
10月前
|
云安全 负载均衡 网络协议
阿里云waf简介和如何配置​
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
游客wfuknido2jlqw
1118 0
众所周知
|
2月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
众所周知
263 1
弹性计算小冉
|
2月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
弹性计算小冉
449 2
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
我是koten
|
11月前
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
我是koten
168 0
sunrr
|
9月前
|
应用服务中间件
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
sunrr
141 2
云安全专家
|
11月前
|
云安全 机器学习/深度学习 移动开发
阿里云WAF再拿第一,为云上云下协同防护按下“快进键”
喜报~
云安全专家
764 0
阿里云WAF再拿第一,为云上云下协同防护按下“快进键”

热门文章

最新文章

  • 1
    【干货】ModSecurity - 针对中小站长高效、免费waf组件
  • 2
    【WAF】三分钟了解Web应用防火墙
  • 3
    云盾WAF实现虚拟补丁——记一起Web漏洞应急响应
  • 4
    阿里云入选Gartner 2019 WAF魔力象限,唯一亚太厂商!
  • 5
    阿里云服务器接入云盾Web应用防火墙教程
  • 6
    阿里云高可用架构之“CDN+WAF+SLB+ECS
  • 7
    Struts2 REST插件远程执行命令漏洞全面分析,WAF支持检测防御
  • 8
    安全宝WAF测试站点
  • 9
    云上等保部署要点——WEB应用防火墙和DDOS高防IP
  • 10
    wAF绕过测试
  • 1
    阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
    449
  • 2
    什么是Web应用程序防火墙,WAF与其他网络安全工具差异在哪?
    140
  • 3
    Web应用防火墙是什么?分享工作原理及部署建议
    44
  • 4
    防火墙是什么?谈谈部署Web防火墙重要性
    32
  • 5
    【技术干货连载 一】业务经过WAF HTTP 400问题排查
    103
  • 6
    网络安全产品之认识WEB应用防火墙
    96
  • 7
    网络安全知识入门:Web应用防火墙是什么?
    35
  • 8
    浅谈下一代防火墙与Web应用防火墙的区别
    71
  • 9
    WAF绕过 -- and判断
    49
  • 10
    最简单的WAF绕过方式
    231

    • 相关课程

    更多
  • 劫持发现、定位以及解决的最佳实践
  • 阿里云数据安全怎么管理数据资产和数据防护?

    • 相关电子书

    更多
  • 阿里云 Web应用防火墙
  • 云盾-Web应用防火墙(WAF)用户接入手册
  • 微信客户端怎样应对弱网络

    • 相关实验场景

    更多
  • 使用CloudLens观测ALB下的网站访问情况
  • 使用CloudLens观测CLB下的网站访问情况
  • 通过云拨测对指定服务器进行Ping/DNS监测
  • 通过云拨测对指定网页进行网页性能监测
  • 揭秘如何通过日志服务实现个人敏感信息保护
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)