网站的 waf 基本没法绕过,做了很多次尝试(包括 xss/sql 注入等),网站的 waf 基本上只要检测到攻击测试,就立马将测试 ip 加入黑名单,半个小时之内无法访问。这种方式的网站应该怎么渗透呢?
This topic created in 3542 days ago, the information mentioned may be changed or developed.
 |
1
yankebupt Sep 30, 2016 via Android
GFW 只要检测到黑名单上的请求,就会发送 reset 信号,当时就无法访问,这种应该怎么渗透呢?
|
 |
2
kulove Sep 30, 2016
逻辑漏洞、旁注、社工、文件上传、解析漏洞..
|
 |
3
crazycen Sep 30, 2016 via iPhone
如果是企业级 waf 一般会很难!
|
|
4
kulove Sep 30, 2016
还有就是既然 waf 基于规则拦截,变通下方式,编码、截断、特殊符号、冷门函数等试过了吗?
|
 |
5
20150517 Oct 1, 2016
没几百个 IP 代理,做什么渗透啊....
|
 |
6
crownprince Oct 1, 2016 via Android
1.安全体系强的网站,一般也有比较广的产品线,可以试试从 C 段,分站等入手,这在渗透测试中,企业也是会允许的
2.企业渗透测试时,可以以员工安全体系为入手点,如 wooyun 上很多次的内网直接漫游,仅通过企业邮箱的信息泄露 |
 |
8
cxy2244186975 Mar 5, 2022 via Android
@20150517 随便噎死了
|
Select Language