WAF防御

WAF防御能力评测及工具

12-26
本篇文章介绍如何从常规攻击的防御能力来评测 一款WAF.一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目的),注入点(漏洞产生的地方,比如说大多数WAF都会较全面地覆盖来自GET请求的攻击,有选择地覆盖来自POST请求的攻击而 忽略来自请求头的攻击)和绕过方式来评测,最后附上评测代码.一.SQL注入(注入)1. 利用场景从攻击者进行SQL注入的阶段来看,一般分为探测与攻击两个阶段(p.s.攻击阶段是WAF的 重点防御阶段)(1)探测阶段1) 探测是否存在SQL注入:基于SQL错误回显