WAF绕过-信息收集之反爬虫延时代理池 46

这篇具有很好参考价值的文章主要介绍了WAF绕过-信息收集之反爬虫延时代理池 46。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

WAF绕过-信息收集之反爬虫延时代理池 46,安全

老师用的阿里云的服务器,装了宝塔和安全狗,WAF绕过-信息收集之反爬虫延时代理池 46,安全

演示案例

Safedog-默认拦截机制分析绕过-未开CC

没有打开防止流量攻击的安全狗,WAF绕过-信息收集之反爬虫延时代理池 46,安全

WAF绕过-信息收集之反爬虫延时代理池 46,安全

而这里,get请求可以直接看到返回结果,而head就不行。

我们就给工具换成get请求

WAF绕过-信息收集之反爬虫延时代理池 46,安全

在没有cc防护情况下的绕过思路,换成get方法,模拟用户真实请求

Safedog-默认拦截机制分析绕过-开启CC 

WAF绕过-信息收集之反爬虫延时代理池 46,安全

在开始扫描,就有很多误报出现了WAF绕过-信息收集之反爬虫延时代理池 46,安全

然后再去看一下网站,就出现了安全感拦截界面

WAF绕过-信息收集之反爬虫延时代理池 46,安全

这个时间间隔要根据对方waf设置的实际情况来设置,只要不触发对方的流量防护,就是成功的绕过,这个3秒就是不会触发安全感的流量防护。

#绕过手法
数据包特征

请求方法

WAF绕过-信息收集之反爬虫延时代理池 46,安全

模拟用户

WAF绕过-信息收集之反爬虫延时代理池 46,安全

爬虫引擎

这个和文件目录白名单黑名单有关,比如你是内部的人,肯定是白名单啥都能看,而普通用户只能看一部分,而黑名单是啥都不能看,WAF绕过-信息收集之反爬虫延时代理池 46,安全

而文件目录设置为白名单,就不会被拦截,而如果是黑名单,不管怎么搞都不能看。

而ip黑白名单,白名单只有白名单可以分为;而黑名单就只要黑名单的ip不可以访问。

安全狗还有一个爬虫白名单,是为了网站可以确定正常收入,这也是为什么默认设置cc攻击是关闭的,

我们如何模拟WAF绕过-信息收集之反爬虫延时代理池 46,安全

去百度搜搜百度引擎爬虫,有教程,修改ua头就可以模拟成百度来访问的WAF绕过-信息收集之反爬虫延时代理池 46,安全

但是只要跑,修改为get请求方法,还是不行,这时候就需要用的技巧,模拟用户

用burp抓包

然后打开python脚本WAF绕过-信息收集之反爬虫延时代理池 46,安全

WAF绕过-信息收集之反爬虫延时代理池 46,安全自己写的,就什么地方都自己可控,用别人的容易被卡脖子。

WAF绕过-信息收集之反爬虫延时代理池 46,安全

代理池

直接去百度搜索免费的代理,然后在脚本里添加上WAF绕过-信息收集之反爬虫延时代理池 46,安全

比如对面的拦截是扫同一个ip访问11次就拦截,我们就可以设置为一个ip访问十次就换下一个ip,这样搞,刚好不会触发他的拦截机制,还能访问。

但是会有对面waf识别的情况,比如安全狗的cc防护攻击,WAF绕过-信息收集之反爬虫延时代理池 46,安全

超过30给ip一样拦截。

还有一种是,直接识别到代理给拦截,主要是防御cc攻击的。

阿里云的服务器绕过

阿里云这个比较吊,他是直接网页没有了。网页没有之后一个小时,不能修改,老师没有办法演示只能跟我们说思路

只有代理池和演示访问可以绕过。

宝塔waf

WAF绕过-信息收集之反爬虫延时代理池 46,安全

这个收费的有漏扫工具拦截,WAF绕过-信息收集之反爬虫延时代理池 46,安全

cc攻击防御规则

WAF绕过-信息收集之反爬虫延时代理池 46,安全

绕过宝塔的只有代理池和延时,

总结

WAF绕过-信息收集之反爬虫延时代理池 46,安全

当我们探针到waf是安全狗的时候,用爬虫去爬却发现被拦截,原因是他的服务器是阿里云,安全狗是绕过了,但是阿里云服务器不行。

宝塔还对关键字有拦截比如bak备份文件,就很难受,要不就延时三秒来扫描,

比如想扫描index.php.bak,东西也就在这个里面但是被拦截了,

一种就是对字典分开,indxe.php.bak(说实话这个没听懂,老师也没有演示)

还可以是变异,加个点或者空格,和文件上传一样,indxe.php.bak.,(indxe.php.bak )

绕过大多数都是通用的,你要学会去想,它规则是拦截.bak,那你就弄个.ba k  .bak.不就好了

fa

cai文章来源地址https://www.toymoban.com/news/detail-725992.html

到了这里,关于WAF绕过-信息收集之反爬虫延时代理池 46的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全各类WAF绕过技巧

    即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 对请求进行并发,攻击请求会被负载均衡

    2024年02月09日
    浏览(42)
  • 深入waf绕过 (云盾,宝塔,安全狗)(19)

    简要其他的绕过方法 第一种方式  ip白名单 在waf里面有设置,白名单就是允许通过的,白名单这些东西就不会进行拦截,如果有这个白名单,你还知道对方白名单的ip地址,根据他的IP地址,去伪造自己是白名单的IP地址,waf就不会拦截, 有前提条件第一个知道对方的白名单

    2024年02月13日
    浏览(40)
  • xss跨站之waf绕过及安全修复(28)

    手工探针xss绕过waf规则 打开靶场  写入跨站测试语句发现拦截  这里就做一个最经典的方法,做一个拆分来确立拦截的是什么东西。 去掉最后字符串,访问还是拦截,再去掉alert(1),访问还是拦截,再去掉尖括号里面一个字符。留下scrtp在访问一下,还是拦截了,拿

    2024年02月13日
    浏览(45)
  • WAF相关知识及安全狗的部署和绕过

    1) 流量识别 2) 攻击检测 3) 攻击防御 4) 记录日志 1) 手动检测 2) 工具检测 一:WAF基础知识 (一)WAF简介 WAF即Web应用程序防火墙通过过滤和监视Web应用程序与Internet之间的HTTP通信来帮助保护Web应用程序,Web Application Firewall (WEB 应用防护系统)。WAF与传统的 Firewall (防火

    2024年02月16日
    浏览(37)
  • 24 WEB漏洞-文件上传之WAF绕过及安全修复

    safedog BT(宝塔) XXX云盾 宝塔过滤的比安全狗厉害一些,在真实情况下现在很多网站都是用宝塔 Content-Disposition: 表单数据,一般可更改 name:表单参数值,不能更改,改完之后,数据包是有问题的,跟前端的表单值会对不上,这样后端会无法判断你上传的地方,如果要更改,那

    2024年02月10日
    浏览(49)
  • 从SQL注入绕过最新安全狗WAF中学习fuzz

    SQL注入并不是很精通,通过实战绕过WAF来进行加强SQL注入能力,希望对正在学习的师傅能有一丝帮助。 我是本地搭建的环境进行测试的 环境是 windows11+phpstudy2018+sqli-labs phpstudy的安装我不再复述,这里简单说一下安全狗插件和安全狗的安装。 在安装安全狗之前,一定要先做好

    2024年02月14日
    浏览(39)
  • 最新绕过目标域名CDN进行信息收集技术

    CDN(Content Delivery Network,内容分发网络)的目的是通过在现有的网络架构中增加一层新的Cache(缓存)层,将网站的内容发布到最接近用户的网络“边缘”的节点,使用户可以就近取得所需的内容,提高用户访问网站的响应速度,从技术上全面解决由于网络带宽小、用户访问

    2024年02月11日
    浏览(50)
  • 【网络安全-信息收集】网络安全之信息收集和信息收集工具讲解(提供工具)

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 工具下载百度网盘链接(包含所有用到的工具): 百度网盘 请输入提取码 百度网盘为您提供文件的网络备份、同步和分享服务。空间大、速度快、安全稳固,

    2024年02月08日
    浏览(50)
  • 站库分离技术--反向代理技术-雷池云WAF-给自己搭建一个安全点的网站

    新买了一个云服务器,想搭建一个站库分离的wordpress为主的网站,采用docker技术,和nginx实现反向代理,同时实现本地搭建雷池WAF过滤流量数据,实现拦截和监测 以docker内的虚拟机为基础提供web服务,portainter为docker图形化的统一管理界面,服务器本机的nginx为反向代理设置

    2024年03月20日
    浏览(50)
  • 爬虫入门指南(6):反爬虫与高级技巧:IP代理、User-Agent伪装、Cookie绕过登录验证及验证码识别工具

    随着互联网发展,网站数据变得越来越重要。然而,为了保护其数据的安全性和唯一性,网站通常会采取反爬虫措施。本篇博客将介绍一些常见的反爬虫技巧,并提供代码案例和相关知识点,帮助您更好地应对反爬虫问题。 当我们使用爬虫程序频繁发送请求到同一个网站时,

    2024年02月12日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包