WAF攻防研究之四个层次Bypass WAF
<!–more–>
摘要
WAF攻防研究之四个层次Bypass WAF
绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全。在我看来,WAF的绕过技术的研究将不断驱动防御水平提高。
以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面。绕过WAF规则,更像是正面对抗,属于下策。一直关注规则层面的绕过,太局限视野,看不到WAF在其他方面问题。木桶原理,防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术,全方位提升WAF的防御能力。 讲完相关攻击技术后,以后再探讨WAF的设计架构、防御策略,这样显得每一处的考虑都是有意义的。
- 从架构层Bypass WAF 。
- 从资源限角度bypass WAF。
- 从协议层面bypass WAF。
- 从规则缺陷bypass WAF。
参考资料
https://weibo.com/ttarticle/p/show?id=2309404007261092631700&display=0&retcode=6102
Leave a Reply