工具推荐:Raptor WAF,轻量级WEB应用防火墙

标签: 工具 waf WEB防火墙 | 发表时间:2016-05-01 11:09 | 作者:0xroot
出处:http://www.freebuf.com

help.png

Raptor是一款采用C语言编写的WEB应用防火墙,使用DFA来阻止SQL注入、Xss目录遍历等攻击。

编译&安装

  $ git clone https://github.com/CoolerVoid/raptor_waf
$ cd raptor_waf; make; bin/raptor   

使用示例

在80端口开启httpd服务并上传一些东西:

  $ bin/Raptor -h localhost -p 80 -r 8883 -w 4 -o loglog.txt   

复制存在漏洞的PHP代码到WEB目录:

  $ cp doc/test_dfa/test.php /var/www/html   

现在你可以在 http://localhost:8883/test.php 测试Xss攻击了

*原文: GitHub ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM )

相关 [工具 raptor waf] 推荐:

工具推荐:Raptor WAF,轻量级WEB应用防火墙

- - FreeBuf.COM | 关注黑客与极客
Raptor是一款采用C语言编写的WEB应用防火墙,使用DFA来阻止SQL注入、Xss目录遍历等攻击. 在80端口开启httpd服务并上传一些东西:. 复制存在漏洞的PHP代码到WEB目录:. 现在你可以在 http://localhost:8883/test.php 测试Xss攻击了. *原文: GitHub ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM ).

浅谈绕过WAF的数种方法

- Lynn - 80sec
08年初诞生了一种SQL群注攻击,黑客在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡. 由于MSSQL支持多语句注入,黑客通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改,可以在网站上无差别的进行网页木马攻击. 互联网是快速更新迭代的,但是很多没有开发能力的单位都是通过外包建立网站,网站的程序一上线就再也无人维护,很多程序存在各种漏洞无法修补,于是WAF便有了市场,现今门槛低且最能解决问题的是针对IIS/apache的软件WAF,通常一个模块一个扩展就能搞定,当然也有耗资百万千万的硬件WAF,然而如果WAF拦截规则出现漏洞,这百万千万的硬件也就是一堆废铁.

ModSecurity:一款优秀的开源WAF

- - FreeBuf互联网安全新媒体平台
一、ModSecurity3.0介绍. ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发. 作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录.

openresty+lua实现WAF应用防火墙

- - C1G军火库
pcre没找到,编辑时加上–with-pcre=../pcre-8.30 \. 4.下载ngx_cache_purge清缓组件. 伪装openresty为xcdn. 4.下载和配置 ngx_lua_waf. nginx下常见的开源 waf 有 mod_security、naxsi、ngx_lua_waf 这三个,ngx_lua_waf 性能高和易用性强,基本上零配置,而且常见的攻击类型都能防御,是比较省心的选择.

开源Web应用防火墙(WAF)- ModSecurity v2.7发布

- - FreeBuf.COM
ModSecurity是知名的开源web应用防火墙,它可以作为你的服务器基础安全设施,是广大站长的福音. 目前支持Apache,IIS7和Nginx. 新版改进 1.不需要对现有网络进行调整,只需要分分钟的时间将ModSecurity模块加载进你的web服务器. 2.因为ModSecurity嵌入到你的web服务器中,所以他会很好的利用负载均衡的优势 3.在数据的处理中,ModSecurity的资源消耗很小.

[转][转]杂谈如何绕过WAF(Web应用防火墙)

- - heiyeluren的blog(黑夜路人的开源世界)
技术分享:杂谈如何绕过WAF(Web应用防火墙). 2014-12-23 共200694人围观,发现21个不明物体 WEB安全. 这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家. 可能在大家眼中WAF(Web应用防火墙)就是“不要脸”的代名词. 如果没有他,我们的“世界”可能会更加美好.

为Nginx加入一个使用深度学习的软WAF

- - FreeBuf互联网安全新媒体平台
本文介绍如何向Nginx增加了一个使用Tensorflow C库的软WAF模块,模块主体基于Naxsi. 这里,之前有Dalao发表过这样一篇文章: 基于卷积神经网络的SQL注入检测. 这是一个开源的项目,但是由于速度的关系,我不打算使用这篇文章的模型,仅仅采用这篇文章使用的数据集. 这样可以节省很多特征工程的时间.

工具小结

- yboren - 博客园-welfear
文档名称:工具小结(Tools Tips) 文档维护:Xuefeng Chang([email protected] @welfear) 文档日期:2010.10.17 find. -name "*.java" | sed 's/.*\///' | \ sort | uniq -c | grep -v "^ *1 " | sort -r 短小精干.

Windows工具集

- - 互联网 - ITeye博客
参考: https://community.rapid7.com/servlet/JiveServlet/downloadBody/2881-102-2-6389/Mitigating%20Service%20Account%20Credential%20Theft%20on%20Windows.pdf.

Geek 漫画:工具

- Yaping - 煎蛋
原作 MANU,由 Oicebot 汉化. 男:我说,与其开车这么大老远过来拍照,我们不如把夏天那张照片在PS里用“色调”选项来改改……. Geek Sexy:旋转木马赛马大赛[v]. 漫画:数码Geek 乱战,他们眼中的对方. Geek Sexy:Cosplay 视频特效大Fight. Geek Sexy:哭泣的PC玩家.