Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

【WAF对抗】【宏观思路】WAF攻防研究之四个层次

wpadmin~September 9, 2019 /InfoSec

WAF攻防研究之四个层次Bypass WAF

<!–more–>

摘要

WAF攻防研究之四个层次Bypass WAF

绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全。在我看来,WAF的绕过技术的研究将不断驱动防御水平提高。

以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面。绕过WAF规则,更像是正面对抗,属于下策。一直关注规则层面的绕过,太局限视野,看不到WAF在其他方面问题。木桶原理,防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术,全方位提升WAF的防御能力。 讲完相关攻击技术后,以后再探讨WAF的设计架构、防御策略,这样显得每一处的考虑都是有意义的。

  1. 从架构层Bypass WAF 。
  2. 从资源限角度bypass WAF。
  3. 从协议层面bypass WAF。
  4. 从规则缺陷bypass WAF。

参考资料

https://weibo.com/ttarticle/p/show?id=2309404007261092631700&display=0&retcode=6102

Leave a Reply

Your email address will not be published. Required fields are marked *