AI 助理
备案控制台
开发者社区 人工智能 文章 正文

WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

2024-06-19 87
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
推荐场景:
阿里云WAAP安全再获技术&市场双认可
简介: WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

信息收集常见检测:

1、脚本或工具速度流量快

2、脚本或工具的指纹被识别

3、脚本或工具的检测Payload


信息收集常见方法:

1、延迟:解决请求过快封IP的情况

2、代理池:在确保速度的情况下解决请求过快封IP的拦截

3、白名单:模拟白名单模拟WAF授权测试,解决速度及测试拦截

4、模拟用户:模拟真实用户数据包请求探针,解决WAF指纹识别


信息收集-被动扫描-黑暗引擎&三方接口

黑暗引擎:Fofa Quake Shodan zoomeye 0.zone等

其他接口:https://forum.ywhack.com/bountytips.php?getinfo


#信息收集-目录扫描-Python代理加载脚本

import requests
import time

headers={
    'Connection': 'keep-alive',
    'Cache-Control': 'max-age=0',
    'Upgrade-Insecure-Requests': '1',
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36',
    'Sec-Fetch-Dest': 'document',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
    'Sec-Fetch-Site': 'none',
    'Sec-Fetch-Mode': 'navigate',
    'Sec-Fetch-User': '?1',
    'Accept-Encoding': 'gzip, deflate, br',
    'Accept-Language': 'zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7',
   'Cookie': 'bdshare_firstime=1581597934650; PHPSESSID=ncsajdvh39qse0qlsgqokshuc4; yx_auth=dc4fq8FAEkyiAUZ54b5zl9GGStCxXoRb1TFaAaozygMiSc5uZYHjR3gCQm%2BtKNz3bcjbTi8BRgcd%2F7LvR0lHN1j319CI6x29Z2QDI38',
}

for paths in open('php_b.txt',encoding='utf-8'):
    url='http://www.testxiaodi.fun/'
    paths=paths.replace('\n','')
    urls=url+paths
    proxy = {
        'http': 'tps686.kdlapi.com:15818',
    }
    try:
        code=requests.get(urls,headers=headers,proxies=proxy).status_code
        #req=requests.get(urls, headers=headers, proxies=proxy)
        #print(urls)
        #print(req.text)
        #time.sleep()
        print(urls+'|'+str(code))
        if code==200 or code==403:
            print(urls+'|'+str(code))
    except Exception as err:
        print('connecting error')
        time.sleep(3)


信息收集-工具扫描-Awvs&Xray&Goby内置

Awvs-设置速度&加入代理

Xray-配置修改&进程转发 Proxifier

Goby-配置加入Socket代理

文章标签:
Web应用防火墙
Python
生物认证
关键词:
Web应用防火墙攻防
Web应用防火墙白名单
Web应用防火墙识别
Web应用防火墙信息
今天是几号
目录
相关文章
今天是几号
|
8月前
|
开发框架 Java .NET
WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
今天是几号
82 1
今天是几号
|
8月前
|
安全 PHP 数据安全/隐私保护
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号
130 0
潇湘信安
|
云安全 安全 生物认证
常见WAF进程/服务与WAF识别总结
常见WAF进程/服务与WAF识别总结
潇湘信安
310 0
小生生
|
网络安全
图文详解Web 应用防火墙查看产品信息
产品信息页向您展示当前Web应用防火墙(WAF)实例的资源详情、WAF的防护规则更新通知、功能更新通知和WAF的回源IP段。
小生生
734 0
游客wfuknido2jlqw
|
云安全 负载均衡 网络协议
阿里云waf简介和如何配置​
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
游客wfuknido2jlqw
1683 0
我是koten
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
我是koten
269 0
技术君
|
7月前
|
安全 API 开发者
带你读《阿里云产品五月刊》——十九、Web应用防火墙 新功能/规格
Web应用防火墙 新功能/规格
技术君
77 0
众所周知
|
9月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
众所周知
389 1
弹性计算小冉
|
9月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
弹性计算小冉
690 2
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
sunrr
|
应用服务中间件
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
sunrr
225 2

热门文章

最新文章

  • 1
    解决kafka集群由于默认的__consumer_offsets这个topic的默认的副本数为1而存在的单点故障问题
  • 2
    【干货】ModSecurity - 针对中小站长高效、免费waf组件
  • 3
    【WAF】三分钟了解Web应用防火墙
  • 4
    云盾WAF实现虚拟补丁——记一起Web漏洞应急响应
  • 5
    阿里云入选Gartner 2019 WAF魔力象限,唯一亚太厂商!
  • 6
    阿里云高可用架构之“CDN+WAF+SLB+ECS
  • 7
    阿里云服务器接入云盾Web应用防火墙教程
  • 8
    全场景安全防护丨一文了解阿里云WAF
  • 9
    阿里云WAF爬虫风险管理升级,定义高效业务安全
  • 10
    bypassing waf's in sql injection
  • 1
    有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
    97
  • 2
    Web应用防火墙(WAF)与数据库应用防火墙有什么区别?
    63
  • 3
    浅析Waf优缺点:硬件Waf、软件Waf、云Waf之总结
    244
  • 4
    WAF防护功能的实现方案
    60
  • 5
    浅析Waf优缺点:硬件Waf、软件Waf、云Waf之总结
    372
  • 6
    安全至上:Web应用防火墙技术深度剖析与实战
    111
  • 7
    动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
    101
  • 8
    通过联合部署DDoS高防和WAF提升网站防护能力
    108
  • 9
    站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站
    180
  • 10
    Web安全-文件上传漏洞与WAF绕过
    252

    • 相关课程

    更多
  • 劫持发现、定位以及解决的最佳实践
  • 阿里云数据安全怎么管理数据资产和数据防护?

    • 相关电子书

    更多
  • 阿里云 Web应用防火墙
  • 云盾-Web应用防火墙(WAF)用户接入手册
  • 如何产生威胁情报-高级恶意攻击案例分析

    • 相关实验场景

    更多
  • 通过云拨测对指定服务器进行Ping/DNS监测
  • 通过云拨测对指定网页进行网页性能监测
  • 物联网设备安全:实时检测7类安全风险(Agentless)
  • 网站用户流量分析—适用于电商网站、资讯网站、游戏主站等各类Web站点场景
  • 日志服务之告警接入与管理
    • 下一篇
    PAI Model Gallery 支持云上一键部署 DeepSeek-V3、DeepSeek-R1 系列模型