-
WAF(NGINX)中502和504的區(qū)別
是upstream在規(guī)定的時間內(nèi)沒有返回任意一個字節(jié)����。 因此這里后端業(yè)務(wù)可能還沒有執(zhí)行�,請求還在服務(wù)器TCP隊列里面�;有可能已經(jīng)在執(zhí)行中,只是還沒有執(zhí)行完����。如果后端業(yè)務(wù)平均處理速度都比較快,那么更大的可能性就是請求還在隊列中�。這里可能的原因有系統(tǒng)的TCP隊列設(shè)置過大,而后端Web
作者: HuangJacky
發(fā)表時間:
2018-07-16 17:16:35
8047
2
-
記一次WAF的SNI時間排查
0x00 背景近日華為云WAF團隊收到一個WAF旗艦版客戶反饋的問題��,他們的APP在部分安卓機上無法正常使用���,取消WAF后又正常����。秉承著“以客戶價值為依歸”的理論��,我們立馬對相關(guān)問題進行排查�。首先客戶的站點是HTTPS的,然后出問題的終端是部分系統(tǒng)版本比較低的安卓手機�,這里可以初
作者: HuangJacky
發(fā)表時間:
2018-07-16 17:00:08
13801
0
-
一鍵安裝堡塔云WAF����,提升網(wǎng)站安全
install_cloudwaf.sh
登錄堡塔云WAF管理面板
管理面板默認端口8379,如果服務(wù)器有安全組��、硬件防火墻�,請開放8379端口
安裝完成后,使用瀏覽器訪問顯示的地址���,輸入賬號(username)與密碼(password)���,登錄堡塔云WAF管理界面
作者: yd_286569944
發(fā)表時間:
2024-05-14 17:12:05
17
0
-
為什么用了cdn或者waf照樣被ddos了
為什么用了cdn或者云waf隱藏了源站ip照樣被ddos攻擊?大家肯定有這樣的疑惑���,這里提幾個主要方面郵箱發(fā)信(顯示郵件原文就有可能看到你源ip)套了cdn或者云waf沒有更換源站ip(沒更換源ip人家繼續(xù)打你之前的ip)個別子域名沒隱藏源ip(比如子域名爆破)暴露太多端口���,沒做僅允許節(jié)點請求源站的策略
作者: 獵心者
發(fā)表時間:
2020-07-27 11:03:53
1672
0
-
WAF+HSS雙劍合璧,防止網(wǎng)頁被篡改
��、企事業(yè)單位等有影響力的單位來說�,頁面被惡意篡改將無意間成為傳播危害社會安全等信息的幫兇�。尤其在重要節(jié)慶時期�����,網(wǎng)頁被篡改的負面影響更甚���。傳送門: 主機安全(防篡改) Web應(yīng)用防火墻 云安全特惠專場
作者: 安全俠
發(fā)表時間:
2021-06-29 13:12:46
1655
0
-
開啟WAF告警通知
本視頻介紹如何開啟告警通知����,開啟告警通知后����,用戶會收到提醒消息(短信或者Email)。
-
301重定向��、屏蔽ip�����、404設(shè)置
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
RewriteCond %{http_host} ^XXX.com [NC]
RewriteRule
作者: 黃啊碼
發(fā)表時間:
2022-06-28 15:17:11
148
0
-
華為云WAF實戰(zhàn)��,如何精準防御SQL注入與XSS攻擊
輸出點上下文識別增強(關(guān)鍵): 確保WAF能準確識別應(yīng)用中用戶輸入被輸出的位置(HTML內(nèi)容�����、屬性���、JS、CSS)����。這可能需要WAF學(xué)習(xí)或配置輔助信息(部分高級WAF支持)。與開發(fā)規(guī)范結(jié)合至關(guān)重要��! 強制內(nèi)容安全策略(CSP - 強烈推薦): 非WAF功能���,但WAF可輔助部署/監(jiān)控����。 CSP
作者: 大熊計算機
發(fā)表時間:
2025-07-08 06:25:17
1
0
-
WAF你繞過去了嘛�?沒有撤退可言(手工)
只要是基于規(guī)則的繞過�,在工作的時候就有著天然的缺陷型,限制了WAF����,防火墻等基于這種模式的防護作用的發(fā)揮�,只要滲透測試者認真一點��,發(fā)揮自己的腦洞����,總能找到各種各樣的繞過姿勢。
網(wǎng)絡(luò)安全:WAF繞過基礎(chǔ)分析和原理���、注入繞過WAF方法分析
點擊并拖拽以移動點擊并拖拽以移動?編輯
觸發(fā)WAF的情況
作者: 黑色地帶(崛起)
發(fā)表時間:
2023-02-16 07:20:30
108
0
-
華為云WAF的成長史1:找工作
<align=left>“你好�����,我是web應(yīng)用防火墻����,來自華為云����,我很強壯,我會好好保護你的網(wǎng)站����!我…”</align> <align=left>“停”面試官粗暴的打斷我的自我介紹“現(xiàn)在外面的web應(yīng)用防火墻多的是,你是這個月來面試的第6個了,你說說��,你比起其他的WAF有什么優(yōu)點����,我為什么要雇用你�?!”</align>
作者: 吾乃攻城貓喵大人
發(fā)表時間:
2017-08-22 13:02:11
36050
28
-
入門代碼檢查之編程規(guī)范��,規(guī)則集����,規(guī)則,規(guī)則用例(場景����、誤報、檢出)
規(guī)則集可以應(yīng)用在不同的范圍上�����,比如公司最小規(guī)則集可以在全公司范圍內(nèi)使用���;產(chǎn)品線規(guī)則集則可以在最小規(guī)則集的基礎(chǔ)上再額外加些產(chǎn)品線特有的規(guī)則進去����,構(gòu)建一個范圍更大的產(chǎn)品線級規(guī)則集�����。
規(guī)則集也可以在不同的階段使用��。比如針對本地IDE編碼階段�,可以構(gòu)建一個IDE插件檢查規(guī)則集在本地實時進行檢查。在提交增量代碼階段����,使用
作者: gentle_zhou
發(fā)表時間:
2023-10-21 00:02:58
20
0
-
【技術(shù)分享】詳談WAF與靜態(tài)統(tǒng)計分析
況下,RVP只需向WAF的核心模塊返回請求處理即可��。如果攻擊條件滿足,那么WAF會計算脆弱點的參數(shù)值�����,使用的算法取決于分析點所屬的漏洞等級�。這些算法之間的相似之處是用于處理包含未知節(jié)點公式的邏輯:與假設(shè)公式不同,在計算時參數(shù)公式不會被計算�,而是立即被傳達給WAF。為了更好地理解這
作者: 人生苦短�,我用Python
發(fā)表時間:
2017-11-08 03:01:47
6048
4
-
【ModSecurity】一款開源WAF工具的安裝記錄
巨獸����。這兩天玩了一個WAF的開源工具,跟大家匯報一哈���。其實在很多中大型網(wǎng)站上或多或少都會有WAF的身影比如這樣: 國外比較出名的WAF像cloudFlare,也做的挺不錯的�。咱們之前在做CTF題目的時候也有遇到過WAF繞過的題目��,簡單一點的就是在注入字前添加多一點字
作者: bin4xin
發(fā)表時間:
2019-09-13 05:45:24.0
5736
2
-
WAF你繞過去了嘛����?沒有撤退可言(工具)
Linux等滲透系統(tǒng)中sqlmap���,簡單的使用入門
(腳本位置在:/usr/share/sqlmap/tamper/)
我用的是kali上自帶的sqlmap
?編輯
檢測是否有waf
(–-identify-waf 檢測WAF:新版的sqlmap里面����,已經(jīng)過時了,不能使用了)
作者: 黑色地帶(崛起)
發(fā)表時間:
2023-02-16 07:21:31
36
0
-
input_params參數(shù)在哪里設(shè)置呀
原因/Reason:批量推理服務(wù)部署失敗�。The field [input_params] must be set for the model that is used to deploy the batch service.一直是這個報錯 , 有大佬知道嗎 ��,球球了
作者: yd_212649551
發(fā)表時間:
2022-12-23 08:58:12.0
47
4
-
Web安全防護���,何去何從(WAF及IPS對比)
序。而這恰恰又是WAF的優(yōu)勢���,能對不同的編碼方式做強制多重轉(zhuǎn)換還原成攻擊明文���,把變形后的字符組合后在分析。那為什么IPS不能做到這個程度����?同樣還有對于HTTPS的加密和解密,這些我們在下節(jié)的產(chǎn)品架構(gòu)中會解釋�。WAF及IPS架構(gòu)我們知道IPS和WAF通常是串聯(lián)部署在Web服務(wù)器前端
作者: charles
發(fā)表時間:
2017-09-15 17:23:59
8878
0
-
文件上傳【繞WAF】【burpsuite才是王道】數(shù)據(jù)溢出���、符號字符變異……
利用過程:
方法一:在content-disposition:字段里寫入無用數(shù)據(jù)(直達WAF檢測不出來)
方法二:重復(fù)Content-Disposition字段�����,將惡意文件放在最后(直到繞過WAF)
方法三:在filename處進行溢出�����,將惡意文件放在最后(直到繞過WAF)
符號變異繞過:
作者: 黑色地帶(崛起)
發(fā)表時間:
2023-02-16 14:03:54
96
0
-
WAF.00012005 - 錯誤碼
錯誤信息: not.subscribe 解決辦法:先訂閱WAF服務(wù)
-
WAF.00012003 - 錯誤碼
錯誤信息: permission.denied 解決辦法:給賬戶分配WAF所需權(quán)限
-
ListWafQps 查詢請求QPS - API
該API屬于AAD服務(wù)�����,描述: 查詢請求QPS接口URL: "/v2/aad/domains/waf-info/flow/qps"
