Clik here to view.
HTTP.pl——通过HTTP发包工具了解HTTP协议
一、HTTP.pl功能简介HTTP.pl perl编写的发包工具,简化版本curl,像curl致敬(唉,“致敬”都被于妈玩坏了)。该发包工具支持HEAD,GET,METHOD三种基本请求方法,能处理 get/post方法的表单处理、文件上传请求、基本认证,能指定HTTP请求头,指定请求超时时间,指定自动Follow重定向的次数及使用代理。使用的perl模块(1)URI 相关模块 :...
View ArticleClik here to view.
网站负载均衡技术读书笔记与站长产品的一点想法
一、《实用负载均衡技术-网站性能优化攻略》读书笔记如图所示,展示了一次HTTP请求发起的各个阶段与各个阶段用到的性能优化技术。二、站长产品要想搭建一个站点,其实很简单1. 注册域名2. 购买vps或者使用云服务 (互联网大头都在做云。。。)3. 下载安装CMS建站程序如果要在国内发布,还得加上下面一步4. 备案而要想运营一个站点,就比较困难了1....
View ArticleClik here to view.
ModSecurity SecRule cheatsheets
通用格式SecRule VARIABLES OPERATOR [TRANSFORMATION_FUNCTIONS, ACTIONS]阶段phase(1)request headers(2)request body(3)response headers(4)response body(5) logging一、变量variable绿色:请求变量 蓝色:server变量 紫色:响应变量...
View ArticleClik here to view.
[科普]什么是 billion laughs-WordPress与Drupal的DoS攻击有感
这周最红的洞,无疑是 WordPress与Drupal xmlrpc.php引发的 DoS攻击 ,究其原理就是针对XML处理的一种叫billion laughs的攻击方式。《web安全测试 》第5.10上传恶意XML实体文件这一章节就很清楚的介绍了这一攻击...
View ArticleClik here to view.
OpenResty安装及结构说明
nginx+Lua成了做云WAF的标配了,所以也要努力学习以debian/ubuntu环境为例1.获得源码wget http://openresty.org/download/ngx_openresty-1.7.2.1.tar.gz历史版本见 http://openresty.org/2. 预安装环境apt-get install libreadline-dev libpcre3-dev...
View ArticleClik here to view.
HTTP发包工具 -HTTPie
一般用curl发送http协议包,这里介绍一款更为友好的发包工具 HTTPie(python版本)(其实也自制了一款perl版本的发包工具HTTP.pl)一、安装 pip install --upgrade httpie或者 easy_install httpie或者 直接从githubpip install --upgrade...
View ArticleModSecurity CRS 笔记、WAF防御checklist,及WAF架构的一些想法
ModSecurity的规则因为奇怪的正则(可读性差?正则都很天书地说!)及被绕过案例(哪个WAF没有被绕过的经历呢?),还有性能啥的,被不少的安全人员围攻,但从架构层面来说,是款非常优秀的WAF,对构造我们自己的WAF非常具有借鉴性。一、ModSecurity CRS笔记对安全人员而言,WAF貌似最有价值的是规则,我们来看看ModSecurity CRS规则集的组织结构。ModSecurity...
View ArticleVPS ubuntu的那些事
周五了,该倒腾倒腾VPS了,于是换个操作系统(我果然是个不正常的宅妹,照理说应该逛taobao追动漫啥的),遵从公司产品的服务器选型,选择了ubuntu,不过用的是最新版本Ubuntu 14.04(在软件产品上,非常浮夸地追求时尚)系统重装后,马上更新(强迫症式的喜欢update)root@www:~# apt-get update && apt-get...
View Article[科普文]ubuntu上安装Apache2+ModSecurity及自定义WAF规则
虽然VPS使用了云WAF功能,但还是有点小担心,为了双重保险,决定使用modsecurity来定制规则,以下介绍如何为apache服务器配置ModSecurity防护罩(modsecurity目前也支持Nginx,IIS) 。本次选择使用包管理器来安装,因为每次使用源码包的安装方式,都会被诡异的库依赖错误弄得发型都抓乱。安装环境:OS:Ubuntu 14.04.1 LTSApache:...
View ArticleClik here to view.
Clik here to view.
wordpress 安全防护
看了infosec 出品的<<Protecting WordPress Installations in an IaaS Environment>>,决定给裸奔的wordpress做做加固。...
View ArticleWeb应用指纹识别
web应用指纹识别,是web渗透信息收集最关键的一步,这方面开源的工具也非常多,像BlindElephant,whatweb 以及在非安全圈都很火的wappalyzer。本文主要描述如何使用wappalyzer的perl与php接口进行指纹识别。...
View ArticleClik here to view.
WAF防御能力评测及工具
本篇文章介绍如何从常规攻击的防御能力来评测一款WAF。一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目的),注入点(漏洞产生的地方,比如说大多数WAF都会较全面地覆盖来自GET请求的攻击,有选择地覆盖来自POST请求的攻击而忽略来自请求头的攻击)和绕过方式来评测,最后附上评测代码。一、SQL注入(注入)1....
View ArticleClik here to view.
WAF的实现
之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。 本篇文章包括三个主题 (1) WAF实现 WAF包括哪些组件,这些组件如何交互来实现WAF防御功能...
View ArticleClik here to view.
ModSecurity 晋级-如何调用lua脚本进行防御快速入门(补充:开启IP-GEO封禁)
我是ModSecurity死忠,也是lua死忠,所以写这篇文章的时候超级高兴,瞬间变成了购物频道的促销员,脑袋里回响着“不是9999,也不是999,只要99,你就拥有”,ModSecurity的扩展脚本非常好写,我是个冒牌程序员都能搞定。下面写个简单的实例功能:判断HTTP请求GET参数中是否包含<script关键字,如果包含则进行跳转处理(当然啦,xss的拦截远远没有这么简单)一、Lua脚本...
View ArticleClik here to view.
ModSecurity 白名单设置
有黑的地方就有白,xxx(好装13),说回正题OWASP CRS 有一条规则960017,不允许Host头为IP地址,规则如下grep -R 960017 ../modsecurity_crs_21_protocol_anomalies.conf:SecRule REQUEST_HEADERS:Host "^[\d.:]+$"...
View ArticleClik here to view.
ssdeep检测webshell
最新版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了使用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛),本文介绍如何使用它来检测webshell。一 、安装ssdeep 下载ssdeep并安装...
View Articleweb应用安全防御100技
如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度。而本文要介绍一本能很好回答这个问题的优秀书籍——《web application defender's cookbook》,这...
View Article大数据之安全漫谈
大数据(big data)、数据科学(data science)、数据挖掘(data mining)、机器学习(machine learning)、深度学习(deep learning)、模式识别(pattern recognition)、可视化(visualization)、自然语言处理(natural language processing)、推荐系统(recommendation...
View ArticleClik here to view.
什么是naxsi
一 、初体验-naxsi安装及使用第一步:下载nginx(pcre)http://nginx.org/en/download.html http://www.pcre.org/mkdir naxsi_waf_sourcecd naxsi_waf_source/wget http://nginx.org/download/nginx-1.7.8.tar.gzwget...
View Article