V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xinali
V2EX  ›  信息安全

网站 waf 太强悍,怎么办?

  •  
  •   xinali · 2016-09-30 22:50:59 +08:00 · 4462 次点击
    这是一个创建于 2985 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网站的 waf 基本没法绕过,做了很多次尝试(包括 xss/sql 注入等),网站的 waf 基本上只要检测到攻击测试,就立马将测试 ip 加入黑名单,半个小时之内无法访问。这种方式的网站应该怎么渗透呢?

    8 条回复    2022-03-05 00:13:04 +08:00
    yankebupt
        1
    yankebupt  
       2016-09-30 22:57:20 +08:00 via Android
    GFW 只要检测到黑名单上的请求,就会发送 reset 信号,当时就无法访问,这种应该怎么渗透呢?
    kulove
        2
    kulove  
       2016-09-30 23:03:50 +08:00
    逻辑漏洞、旁注、社工、文件上传、解析漏洞..
    crazycen
        3
    crazycen  
       2016-09-30 23:06:06 +08:00 via iPhone
    如果是企业级 waf 一般会很难!
    kulove
        4
    kulove  
       2016-09-30 23:16:14 +08:00
    还有就是既然 waf 基于规则拦截,变通下方式,编码、截断、特殊符号、冷门函数等试过了吗?
    20150517
        5
    20150517  
       2016-10-01 06:28:47 +08:00
    没几百个 IP 代理,做什么渗透啊....
    crownprince
        6
    crownprince  
       2016-10-01 10:00:12 +08:00 via Android
    1.安全体系强的网站,一般也有比较广的产品线,可以试试从 C 段,分站等入手,这在渗透测试中,企业也是会允许的
    2.企业渗透测试时,可以以员工安全体系为入手点,如 wooyun 上很多次的内网直接漫游,仅通过企业邮箱的信息泄露
    xinali
        7
    xinali  
    OP
       2016-10-01 16:43:25 +08:00
    @20150517 我竟无言以对
    cxy2244186975
        8
    cxy2244186975  
       2022-03-05 00:13:04 +08:00 via Android
    @20150517 随便噎死了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5735 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 03:31 · PVG 11:31 · LAX 19:31 · JFK 22:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.