WAF,全称Web Application Firewall,顾名思义,从英文的词义来说叫做Web应用防火墙,准确的称之为Web应用防护系统,主要目标主体是HTTP/HTTPS安全策略的执行来提供应用保护。
WAF有着多面性的特点,从网络入侵角度可以把它看做成运行在HTTP层上的病毒入侵检测设备;从防火墙角度来看它还有防火墙功能;WAF在等级保护测评环节是一个重要的安全产品。
那么渗透测试又和WAF有什么关系呢?
渗透测试能够独立检查网络策略,这个检查一定是人工操作的,通过模拟黑客针对目标进行的攻击行为,然后来评估这个系统安全。
渗透过程中针对系统的任何弱点、缺陷和漏洞进行主动分析。渗透测试在等级保护测评环节是必不可少的一部分。
所以,我们进行渗透测试,如何绕过WAF,也就成了我们今天的主命题。
有以下几种方法,大家可以进行尝试:
大小写绕过
HTTP 协议覆盖绕过
注释符绕过
白名单 IP 绕过
编码绕过
真实 IP 绕过
分块传输绕过
Pipline 绕过
使用空字节绕过
参数污染绕过
关键字替换绕过
溢出 WAF 绕过
其他好的方法,欢迎大家留言发表。
佳传信息提供针对性、定制化的等级保护测评整改解决方案,协助企业详细梳理整改清单。最终客户通过低成本、高防护来拿到合格的测评报告。
共有条留言 用户留言