Web Application Firewall又名WEB应用安全防火墙,简称WAF,07年底08年开始Web应用防火墙日趋流行,过去这些工具被很少数的大型项目垄断,但是,随着大量的低成本产品的面市以及可供选择的开源试用产品的出现,它们最终能被大多数人所使用。在这篇文章中,先向大家介绍Web应用防火墙能干什么,然后快速的概览一下Web应用防火墙最有用的一些特征。通过这篇文章的阅读,大家能清楚地了解web应用防火墙这个主题,掌握相关知识。
摘要:随着人们对数据驱动的网站的依赖性的提高,针对WEb站点的攻击的数量也呈现出上升的趋势。作为开发人员,只有先弄明白了自己的站点是如何被攻击的,才能设法保护它们。本文将揭示一些比较常见的攻击,同时还介绍侦察这些攻击的安全工具。
wasc-wafec-v1.0_web应用防火墙评估标准
之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文,并整理成excel方式在公司内部发了下,一直没有公开发出,一来是觉得翻译的还不够好,二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准,并公布了出来,就直接转载过来,下面为转载内容。
一:注入类:
access数据库
<1>
首先猜解管理员密码:
手工猜解(当然,如果你有基础,这里就很简单。如果没学过,其实只要记下一些常用的语句就可以了。)
工具猜解。我建议用zwell的穿山甲,也就是pangolin..或者是NBSI。前者猜解速度非常强悍。而猜解的准确率两者都很好。
找出后台:
用明小子,啊D,等工具都可以找的。但有时候会找不到。为什么呢?建议用多线程后台扫描工具。里面的字典你可以从明小子等那些工具里综合起来。还有一点。平时检测网站的时候遇到一些你字典里没有的后台名称。要注意积累下来。
看了墨西哥同学(其实看不懂,刺帮忙翻译的)和刺的文章,不过我们主要关心该技术的利用。
sirdarckcat说,HTTP头的长度,在APACHE等web服务器是有一定的要求的,如果超出一定长度,会产生服务器错误。HTTP头里面,有 cookie,有location,有host。。。如果我们可以控制其中一个(例如cookie),给用户植入大长度的cookie,就会出现用户访问 该域下所有的请求,都带上大长度cookie,导致用户不管访问域名下的哪个文件,都会产生服务器错误,造成客户端无法访问。
HTTP头有很多字段,为什么非要提COOKIE插入大字段呢?从理论上讲,只要HTTP的头,大于某个值,就可以DDOS,但是问题是,只有 COOKIE会跟着用户一直走。种入COOKIE后,无论访问哪里,都会发出去,但是其他字段,例如location等,虽然插入了,却只有一次请求带 着,下次没有了。
墨西哥同学周末很郁闷的在宾馆上网,发现youtube被ban了,于是写个了tool解决这个问题。顺带想到了一种利用 google 统计的漏洞,写在这里了
http://sirdarckcat.blogspot.com/2009/04/how-to-use-google-analytics-to-dos.html
这个问题实际上是由于 webserver 的 request field limit 造成的。
作者:Flyh4t
校内网在发blog时对插入图片过滤不严格,存在xss漏洞
在发blog时将插入图片URL写为如下代码即可触发:
来源:皇子
InfoGuard,简称iGuard,俗称网页文件防止篡改器,昨天晚上被这个东西弄的头大了,好好研究了下,找到了解决办法,记录一下.
先给出这个东西的效果,随便丢了个webshell进去,没有被杀,服务器上是存在的,但是访问的时候就变成了这个胎蠢样子:
#http://www.cirt.net/ 官方网站
# site http://www.feelids.com*/
# Author:swap
简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息
perl nkito.pl –h 192.168.0.1
多端口扫描
Perl nikto.pl –h 192.168.0.1 –p 80,88,443
加代理扫描
Perl nikto.pl –h 192.168.0.1 –p 80 –u
IE有一个特性,那就是在将一个文件展示给用户之前会首先检查文件的类型,这乍看起来并没什么问题,但实际上这是相当危险的,因为这会允许IE执行图片中的代码,即嵌入在一个图像中的JavaScript代码。引入MIME sniffing功能的初衷是用来弥补Web服务器响应一个图像请求时有可能返回错误的内容类型信息这一缺陷。
但是事不遂人愿,心怀不轨的人可以轻易滥用这一特性,如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的HTML和JavaScript代码。本文将深入考察该问题,并为用户和网站开发人员介绍如何降低此问题带来的风险。
老的kenvi’s Blog搬到http://www.kenvi.cn/old里面了,现在很多用户从搜索引擎中搜索到以前的一些资料都404错误了,现在用下面代码实现了自动跳转,解决了此问题:
English