国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

WAF繞過-信息收集之反爬蟲延時代理池 46

2年前作者:上線之叁分類:Toy博客閱讀(41)違法舉報

這篇具有很好參考價值的文章主要介紹了WAF繞過-信息收集之反爬蟲延時代理池 46。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

老師用的阿里云的服務器,裝了寶塔和安全狗,WAF繞過-信息收集之反爬蟲延時代理池 46,安全

演示案例

Safedog-默認攔截機制分析繞過-未開CC

沒有打開防止流量攻擊的安全狗,WAF繞過-信息收集之反爬蟲延時代理池 46,安全

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

而這里,get請求可以直接看到返回結果,而head就不行。

我們就給工具換成get請求

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

在沒有cc防護情況下的繞過思路,換成get方法,模擬用戶真實請求

Safedog-默認攔截機制分析繞過-開啟CC?

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

在開始掃描,就有很多誤報出現(xiàn)了WAF繞過-信息收集之反爬蟲延時代理池 46,安全

然后再去看一下網(wǎng)站,就出現(xiàn)了安全感攔截界面

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

這個時間間隔要根據(jù)對方waf設置的實際情況來設置,只要不觸發(fā)對方的流量防護,就是成功的繞過,這個3秒就是不會觸發(fā)安全感的流量防護。

#繞過手法
數(shù)據(jù)包特征

請求方法

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

模擬用戶

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

爬蟲引擎

這個和文件目錄白名單黑名單有關,比如你是內(nèi)部的人,肯定是白名單啥都能看,而普通用戶只能看一部分,而黑名單是啥都不能看,WAF繞過-信息收集之反爬蟲延時代理池 46,安全

而文件目錄設置為白名單,就不會被攔截,而如果是黑名單,不管怎么搞都不能看。

而ip黑白名單,白名單只有白名單可以分為;而黑名單就只要黑名單的ip不可以訪問。

安全狗還有一個爬蟲白名單,是為了網(wǎng)站可以確定正常收入,這也是為什么默認設置cc攻擊是關閉的,

我們?nèi)绾文MWAF繞過-信息收集之反爬蟲延時代理池 46,安全

去百度搜搜百度引擎爬蟲,有教程,修改ua頭就可以模擬成百度來訪問的WAF繞過-信息收集之反爬蟲延時代理池 46,安全

但是只要跑,修改為get請求方法,還是不行,這時候就需要用的技巧,模擬用戶

用burp抓包

然后打開python腳本WAF繞過-信息收集之反爬蟲延時代理池 46,安全

WAF繞過-信息收集之反爬蟲延時代理池 46,安全自己寫的,就什么地方都自己可控,用別人的容易被卡脖子。

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

代理池

直接去百度搜索免費的代理,然后在腳本里添加上WAF繞過-信息收集之反爬蟲延時代理池 46,安全

比如對面的攔截是掃同一個ip訪問11次就攔截,我們就可以設置為一個ip訪問十次就換下一個ip,這樣搞,剛好不會觸發(fā)他的攔截機制,還能訪問。

但是會有對面waf識別的情況,比如安全狗的cc防護攻擊,WAF繞過-信息收集之反爬蟲延時代理池 46,安全

超過30給ip一樣攔截。

還有一種是,直接識別到代理給攔截,主要是防御cc攻擊的。

阿里云的服務器繞過

阿里云這個比較吊,他是直接網(wǎng)頁沒有了。網(wǎng)頁沒有之后一個小時,不能修改,老師沒有辦法演示只能跟我們說思路

只有代理池和演示訪問可以繞過。

寶塔waf

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

這個收費的有漏掃工具攔截,WAF繞過-信息收集之反爬蟲延時代理池 46,安全

cc攻擊防御規(guī)則

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

繞過寶塔的只有代理池和延時,

總結

WAF繞過-信息收集之反爬蟲延時代理池 46,安全

當我們探針到waf是安全狗的時候,用爬蟲去爬卻發(fā)現(xiàn)被攔截,原因是他的服務器是阿里云,安全狗是繞過了,但是阿里云服務器不行。

寶塔還對關鍵字有攔截比如bak備份文件,就很難受,要不就延時三秒來掃描,

比如想掃描index.php.bak,東西也就在這個里面但是被攔截了,

一種就是對字典分開,indxe.php.bak(說實話這個沒聽懂,老師也沒有演示)

還可以是變異,加個點或者空格,和文件上傳一樣,indxe.php.bak.,(indxe.php.bak?)

繞過大多數(shù)都是通用的,你要學會去想,它規(guī)則是攔截.bak,那你就弄個.ba k? .bak.不就好了

fa

cai文章來源地址http://www.zghlxwxcb.cn/news/detail-725992.html

到了這里,關于WAF繞過-信息收集之反爬蟲延時代理池 46的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如若轉載,請注明出處: 如若內(nèi)容造成侵權/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領支付寶紅包贊助服務器費用

相關文章

  • 網(wǎng)絡安全各類WAF繞過技巧

    網(wǎng)絡安全各類WAF繞過技巧

    即傳入一段長數(shù)據(jù)使waf失效,從而實現(xiàn)繞過waf。某些waf處理POST的數(shù)據(jù)時,只會檢測開頭的8K,后面選擇全部放過。 例如,當發(fā)現(xiàn)某網(wǎng)站存在一個反序列化漏洞時,但是無回顯,被waf攔截了 利用臟數(shù)據(jù)插入5000個x字符,可以成功繞過。 對請求進行并發(fā),攻擊請求會被負載均衡

    2024年02月09日
    瀏覽(19)
  • 深入waf繞過 (云盾,寶塔,安全狗)(19)

    深入waf繞過 (云盾,寶塔,安全狗)(19)

    簡要其他的繞過方法 第一種方式? ip白名單 在waf里面有設置,白名單就是允許通過的,白名單這些東西就不會進行攔截,如果有這個白名單,你還知道對方白名單的ip地址,根據(jù)他的IP地址,去偽造自己是白名單的IP地址,waf就不會攔截, 有前提條件第一個知道對方的白名單

    2024年02月13日
    瀏覽(16)
  • xss跨站之waf繞過及安全修復(28)

    xss跨站之waf繞過及安全修復(28)

    手工探針xss繞過waf規(guī)則 打開靶場? 寫入跨站測試語句發(fā)現(xiàn)攔截 ?這里就做一個最經(jīng)典的方法,做一個拆分來確立攔截的是什么東西。 去掉最后字符串,訪問還是攔截,再去掉alert(1),訪問還是攔截,再去掉尖括號里面一個字符。留下scrtp在訪問一下,還是攔截了,拿

    2024年02月13日
    瀏覽(32)
  • WAF相關知識及安全狗的部署和繞過

    WAF相關知識及安全狗的部署和繞過

    1) 流量識別 2) 攻擊檢測 3) 攻擊防御 4) 記錄日志 1) 手動檢測 2) 工具檢測 一:WAF基礎知識 (一)WAF簡介 WAF即Web應用程序防火墻通過過濾和監(jiān)視Web應用程序與Internet之間的HTTP通信來幫助保護Web應用程序,Web Application Firewall (WEB 應用防護系統(tǒng))。WAF與傳統(tǒng)的 Firewall (防火

    2024年02月16日
    瀏覽(23)
  • 24 WEB漏洞-文件上傳之WAF繞過及安全修復

    24 WEB漏洞-文件上傳之WAF繞過及安全修復

    safedog BT(寶塔) XXX云盾 寶塔過濾的比安全狗厲害一些,在真實情況下現(xiàn)在很多網(wǎng)站都是用寶塔 Content-Disposition: 表單數(shù)據(jù),一般可更改 name:表單參數(shù)值,不能更改,改完之后,數(shù)據(jù)包是有問題的,跟前端的表單值會對不上,這樣后端會無法判斷你上傳的地方,如果要更改,那

    2024年02月10日
    瀏覽(20)
  • 從SQL注入繞過最新安全狗WAF中學習fuzz

    從SQL注入繞過最新安全狗WAF中學習fuzz

    SQL注入并不是很精通,通過實戰(zhàn)繞過WAF來進行加強SQL注入能力,希望對正在學習的師傅能有一絲幫助。 我是本地搭建的環(huán)境進行測試的 環(huán)境是 windows11+phpstudy2018+sqli-labs phpstudy的安裝我不再復述,這里簡單說一下安全狗插件和安全狗的安裝。 在安裝安全狗之前,一定要先做好

    2024年02月14日
    瀏覽(23)
  • 最新繞過目標域名CDN進行信息收集技術

    最新繞過目標域名CDN進行信息收集技術

    CDN(Content Delivery Network,內(nèi)容分發(fā)網(wǎng)絡)的目的是通過在現(xiàn)有的網(wǎng)絡架構中增加一層新的Cache(緩存)層,將網(wǎng)站的內(nèi)容發(fā)布到最接近用戶的網(wǎng)絡“邊緣”的節(jié)點,使用戶可以就近取得所需的內(nèi)容,提高用戶訪問網(wǎng)站的響應速度,從技術上全面解決由于網(wǎng)絡帶寬小、用戶訪問

    2024年02月11日
    瀏覽(24)
  • 【網(wǎng)絡安全-信息收集】網(wǎng)絡安全之信息收集和信息收集工具講解(提供工具)

    【網(wǎng)絡安全-信息收集】網(wǎng)絡安全之信息收集和信息收集工具講解(提供工具)

    分享一個非常詳細的網(wǎng)絡安全筆記,是我學習網(wǎng)安過程中用心寫的,可以點開以下鏈接獲?。?超詳細的網(wǎng)絡安全筆記 工具下載百度網(wǎng)盤鏈接(包含所有用到的工具): 百度網(wǎng)盤 請輸入提取碼 百度網(wǎng)盤為您提供文件的網(wǎng)絡備份、同步和分享服務??臻g大、速度快、安全穩(wěn)固,

    2024年02月08日
    瀏覽(30)
  • 站庫分離技術--反向代理技術-雷池云WAF-給自己搭建一個安全點的網(wǎng)站

    站庫分離技術--反向代理技術-雷池云WAF-給自己搭建一個安全點的網(wǎng)站

    新買了一個云服務器,想搭建一個站庫分離的wordpress為主的網(wǎng)站,采用docker技術,和nginx實現(xiàn)反向代理,同時實現(xiàn)本地搭建雷池WAF過濾流量數(shù)據(jù),實現(xiàn)攔截和監(jiān)測 以docker內(nèi)的虛擬機為基礎提供web服務,portainter為docker圖形化的統(tǒng)一管理界面,服務器本機的nginx為反向代理設置

    2024年03月20日
    瀏覽(63)
  • 爬蟲入門指南(6):反爬蟲與高級技巧:IP代理、User-Agent偽裝、Cookie繞過登錄驗證及驗證碼識別工具

    爬蟲入門指南(6):反爬蟲與高級技巧:IP代理、User-Agent偽裝、Cookie繞過登錄驗證及驗證碼識別工具

    隨著互聯(lián)網(wǎng)發(fā)展,網(wǎng)站數(shù)據(jù)變得越來越重要。然而,為了保護其數(shù)據(jù)的安全性和唯一性,網(wǎng)站通常會采取反爬蟲措施。本篇博客將介紹一些常見的反爬蟲技巧,并提供代碼案例和相關知識點,幫助您更好地應對反爬蟲問題。 當我們使用爬蟲程序頻繁發(fā)送請求到同一個網(wǎng)站時,

    2024年02月12日
    瀏覽(28)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領取紅包,優(yōu)惠每天領

二維碼1

領取紅包

二維碼2

領紅包