web安全开发,在线%嵌入式入侵检测waf防火墙%开发demo,基于html,css,python,flask,waf模块,解析http,request,respones,cookie等各种头参数信息
·

经验心得
waf有两种嵌入式(代码层不同语言不同说明,拦截器,装饰器,注解器,动态代理,动态工厂,无痕开发,统称aop,或者插桩想起火绒一位故人dongtai,百度他们好像也有个openrasp)和非嵌入式,硬件waf,云waf,单独一硬件或软件在请求之前通过原始套接字拦截等,详细waf介绍网站自行了解,我们重点看下这个嵌入式的waf,才收假咱们国内的一红队成员就找我帮忙写一个代码层面的waf应该是要去投标吧,经常参加护网,ctf应该都认识这位红队大老。经过他同意我把人工智能,任务下发人工检测,以及部分靶机中webtop10的大部分功能都删了,咱们使用传统的检测方式来学习waf核心。视频我分两部分第一部分关闭代码层waf检测,我们直接通过堆叠注入写入udf拿shell。第二部分我们看下waf规则库中是怎么拦截我们平时的payload的。从传统检测方式来看,它无非就几点,字符匹配,正则表达式,编码解码,不同的中间件解析漏洞00截断等,加密解密,所以之前各种盾,安全狗在黑盒测试中我们可以进行大规模的fuzz模糊测试达到效果。如果加上蓝队的人工智能检测呢?等后期有时间我再说,需要学一点人工智能基础。
详细操作视频
【web安全开发,在线%嵌入式入侵检测waf防火墙%系统demo,基于html,python,flask,waf模块,解析各种header等,mysql数据库-哔哩哔哩】 https://b23.tv/AU00H7R
更多推荐
所有评论(0)