第76天:WAF攻防-信息收集识别被动探针代理池仿指纹白名单

本文主要是介绍第76天:WAF攻防-信息收集识别被动探针代理池仿指纹白名单,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

基础知识

案例一: 信息收集-被动扫描-黑暗引擎&三方接口

案例二: 信息收集-目录扫描-Python 代理加载脚本

案例三: 信息收集-爬虫扫描-Awvs&Xray&Goby内置


基础知识

什么是 WAF
Web Application Firewall web 应用防火墙),一种公认的说法是 “web 应用防火墙通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 web 应用提供保护的一款产 品。
基本可以分为以下 4
软件型 WAF
以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上
是否有 webshell ,是否有文件被创建等。   安全狗 d盾
硬件型 WAF
以硬件形式部署在链路中,支持多种部署方式。当串联到链路上时可以拦截恶意流量,在
旁路监听模式时只记录攻击但是不进行拦截。  安全公司设备
WAF
一般以反向代理的形式工作,通过配置后,使对网站的请求数据优先经过 WAF 主机,在
WAF 主机对数据进行过滤后再传给服务器   阿里云自带waf
网站内置的 WAF
就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,
对输入的参数进行敏感词检测啊什么的 

存在的问题: waf产品太多了,只能了解一两种,遇到别的没办法,各种waf绕过的难度也不一样

案例一: 信息收集-被动扫描-黑暗引擎&三方接口

黑暗引擎: Fofa Quake Shodan zoomeye 0.zone
其他接口: https://forum.ywhack.com/bountytips.php?getinfo

案例二: 信息收集-目录扫描-Python 代理加载脚本

这里用安全狗开启防护

利用7kb爆破软件去爆破目录

爆破出来的目录全是错的,并且被拦截

安全狗里面有ip白名单,ua头有这些ua头会不拦截

各大ua头信息

https://blog.csdn.net/wsghjk/article/details/108436643

这里用百度的ua,安全狗也不会有限制登录,这里没爆破出来结果是可能不支持,头部信息需要完整

或者设置代理,设置代理的网站:

快代理 - 企业级HTTP代理IP云服务_专注IP代理10年

首次可以免费使用六个小时

配置

配置代理规则

爆破网站不会被拦截

为了确定有效这里直接把代理关了,直接拦截

这种方式爬不下来,需要包含ua头才能爬下来,这里用python爬

import requests
import timeheaders={'Connection': 'keep-alive','Cache-Control': 'max-age=0','Upgrade-Insecure-Requests': '1','User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36','Sec-Fetch-Dest': 'document','Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9','Sec-Fetch-Site': 'none','Sec-Fetch-Mode': 'navigate','Sec-Fetch-User': '?1','Accept-Encoding': 'gzip, deflate, br','Accept-Language': 'zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7','Cookie': 'safedog-flow-item=BA0A0347121B222033EA7279CF5DAF15',
}for paths in open('php.txt',encoding='utf-8'):url='http://yourip//sqli'paths=paths.replace('\n','')urls=url+pathsproxy = {'http': 'm829.kdltps.com:15818',}try:code=requests.get(urls,headers=headers,proxies=proxy).status_code#req=requests.get(urls, headers=headers, proxies=proxy)#print(urls)#print(req.text)#time.sleep()print(urls+'|'+str(code))if code==200 or code==403:print(urls+'|'+str(code))except Exception as err:print('connecting error')time.sleep(3)

 爬取结果

案例三: 信息收集-爬虫扫描-Awvs&Xray&Goby内置

awvs设置代理

xray设置代理

或者利用proxy设置代理

goby设置代理

这篇关于第76天:WAF攻防-信息收集识别被动探针代理池仿指纹白名单的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/958873

相关文章

opencv图像处理之指纹验证的实现

《opencv图像处理之指纹验证的实现》本文主要介绍了opencv图像处理之指纹验证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学... 目录一、简介二、具体案例实现1. 图像显示函数2. 指纹验证函数3. 主函数4、运行结果三、总结一、

使用PyTorch实现手写数字识别功能

《使用PyTorch实现手写数字识别功能》在人工智能的世界里,计算机视觉是最具魅力的领域之一,通过PyTorch这一强大的深度学习框架,我们将在经典的MNIST数据集上,见证一个神经网络从零开始学会识... 目录当计算机学会“看”数字搭建开发环境MNIST数据集解析1. 认识手写数字数据库2. 数据预处理的

一文详解SQL Server如何跟踪自动统计信息更新

《一文详解SQLServer如何跟踪自动统计信息更新》SQLServer数据库中,我们都清楚统计信息对于优化器来说非常重要,所以本文就来和大家简单聊一聊SQLServer如何跟踪自动统计信息更新吧... SQL Server数据库中,我们都清楚统计信息对于优化器来说非常重要。一般情况下,我们会开启"自动更新

Pytorch微调BERT实现命名实体识别

《Pytorch微调BERT实现命名实体识别》命名实体识别(NER)是自然语言处理(NLP)中的一项关键任务,它涉及识别和分类文本中的关键实体,BERT是一种强大的语言表示模型,在各种NLP任务中显著... 目录环境准备加载预训练BERT模型准备数据集标记与对齐微调 BERT最后总结环境准备在继续之前,确

Python如何获取域名的SSL证书信息和到期时间

《Python如何获取域名的SSL证书信息和到期时间》在当今互联网时代,SSL证书的重要性不言而喻,它不仅为用户提供了安全的连接,还能提高网站的搜索引擎排名,那我们怎么才能通过Python获取域名的S... 目录了解SSL证书的基本概念使用python库来抓取SSL证书信息安装必要的库编写获取SSL证书信息

讯飞webapi语音识别接口调用示例代码(python)

《讯飞webapi语音识别接口调用示例代码(python)》:本文主要介绍如何使用Python3调用讯飞WebAPI语音识别接口,重点解决了在处理语音识别结果时判断是否为最后一帧的问题,通过运行代... 目录前言一、环境二、引入库三、代码实例四、运行结果五、总结前言基于python3 讯飞webAPI语音

Win32下C++实现快速获取硬盘分区信息

《Win32下C++实现快速获取硬盘分区信息》这篇文章主要为大家详细介绍了Win32下C++如何实现快速获取硬盘分区信息,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 实现代码CDiskDriveUtils.h#pragma once #include <wtypesbase

使用Python开发一个图像标注与OCR识别工具

《使用Python开发一个图像标注与OCR识别工具》:本文主要介绍一个使用Python开发的工具,允许用户在图像上进行矩形标注,使用OCR对标注区域进行文本识别,并将结果保存为Excel文件,感兴... 目录项目简介1. 图像加载与显示2. 矩形标注3. OCR识别4. 标注的保存与加载5. 裁剪与重置图像

Python爬虫selenium验证之中文识别点选+图片验证码案例(最新推荐)

《Python爬虫selenium验证之中文识别点选+图片验证码案例(最新推荐)》本文介绍了如何使用Python和Selenium结合ddddocr库实现图片验证码的识别和点击功能,感兴趣的朋友一起看... 目录1.获取图片2.目标识别3.背景坐标识别3.1 ddddocr3.2 打码平台4.坐标点击5.图

Python如何实现PDF隐私信息检测

《Python如何实现PDF隐私信息检测》随着越来越多的个人信息以电子形式存储和传输,确保这些信息的安全至关重要,本文将介绍如何使用Python检测PDF文件中的隐私信息,需要的可以参考下... 目录项目背景技术栈代码解析功能说明运行结php果在当今,数据隐私保护变得尤为重要。随着越来越多的个人信息以电子形