WAF
WAF概念介绍
WAF概念
WAF的产品形态
WAF部署模式
开源WAF
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 h4m5t's Blog!
相关推荐
2021-01-27
web安全学习路线
参加了字节跳动安全与风控训练营,根据官网安全综述文档摘录的安全学习路线 字节跳动官方文档 web安全 前端安全 XSS 点击劫持 浏览器、webview安全 接口安全 接口请求 错误的Method 协议: HTTP明文传输 脆弱的加密方法 低版本加密协议 //的滥用 协议降级 域名 域名接管 域传送 robote.txt 社工钓鱼 敏感端口暴露 路径 目录遍历 CRLF漏洞 列目录 敏感文件、目录访问 Header CORS绕过 CSRF Referer绕过 参数 SQL注入 命令执行 SSRF 任意文件上传 文件包含 XXE 任意网址跳转 JSONP劫持 接口鉴权 未鉴权 越权 接口频控 短袖邮件暴力发送 关键接口 发帖、评论 反爬虫 接口返回 Header设置缺失 敏感信息返回 返回系统架构、网站路径等基础信息 安全建设 被动安全 WAF IDS,IPS 应急响应 风控 蜜罐 主动安全 安全基线 SDLC DAST,IAST SAST 学习路线 自己搭建博客 安全知识 Web知识 安...
2021-01-28
浏览器的同源策略与跨站请求伪造(CSRF)
定义同源策略是指在Web浏览器中,允许某个网页脚本访问另一个网页的数据,但前提是这两个网页必须同源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据。 同源的判断如下: 协议相同 域名相同 端口相同 应用同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于cookie来维持用户会话,所以必须将不相关网站严格分隔,以防止丢失数据泄露。 同源比较下表列出哪些URL与http://www.example.com/dir/page.html 属于相同来源 http://en.example.com/dir/other.html 否 不同域名 http://example.com/dir/other.html 否 不同域名(需要完全匹配) **http://**username:password@www.example.com/dir2/other.html 是 只有路径不同 http://v2.www...
2021-03-19
TCP/IP协议脆弱性分析
TCP/IP协议簇TCP/IP提供了点对点链接的机制,将资料应该如何封装、寻址、传输、路由以及在目的地如何接收,都加以标准化。它将软件通信过程抽象化为四个抽象层,采取协议堆栈的方式,分别实现出不同通信协议。协议族下的各种协议,依其功能不同,分别归属到这四个层次结构之中,常视为是简化的七层OSI模型。 TCP(传输控制协议)和IP(网际协议) TCP/IP 意味着 TCP 和 IP 在一起协同工作。 TCP 负责应用软件(比如您的浏览器)和网络软件之间的通信。 IP 负责计算机之间的通信。 TCP 负责将数据分割并装入 IP 包,然后在它们到达的时候重新组合它们。 IP 负责将包发送至接受者。 安全隐患1.链路层攻击 在TCP/IP网络中,链路层这一层次的复杂程度是最高的。其中最常见的攻击方式通常是网络嗅探组成的TCP/IP协议的以太网。当前,我国应用较为广泛的局域网是以太网,且其共享信道利用率非常高。以太网卡有两种主要的工作方式,一种是一般工作方式,另一种是较特殊的混杂方式。这一情况下,很可能由于被攻击的原因而造成信息丢失情况,且...