网站 waf 太强悍，怎么办？

2016-09-30 22:50:59 +08:00

xinali

网站的 waf 基本没法绕过，做了很多次尝试(包括 xss/sql 注入等)，网站的 waf 基本上只要检测到攻击测试，就立马将测试 ip 加入黑名单，半个小时之内无法访问。这种方式的网站应该怎么渗透呢？

4312 次点击

所在节点

8 条回复

yankebupt

2016-09-30 22:57:20 +08:00

GFW 只要检测到黑名单上的请求，就会发送 reset 信号，当时就无法访问，这种应该怎么渗透呢？

kulove

2016-09-30 23:03:50 +08:00

逻辑漏洞、旁注、社工、文件上传、解析漏洞..

crazycen

2016-09-30 23:06:06 +08:00

如果是企业级 waf 一般会很难！

kulove

2016-09-30 23:16:14 +08:00

还有就是既然 waf 基于规则拦截，变通下方式，编码、截断、特殊符号、冷门函数等试过了吗？

20150517

2016-10-01 06:28:47 +08:00

没几百个 IP 代理,做什么渗透啊....

crownprince

2016-10-01 10:00:12 +08:00

1.安全体系强的网站，一般也有比较广的产品线，可以试试从 C 段，分站等入手，这在渗透测试中，企业也是会允许的
2.企业渗透测试时，可以以员工安全体系为入手点，如 wooyun 上很多次的内网直接漫游，仅通过企业邮箱的信息泄露

xinali

2016-10-01 16:43:25 +08:00

@20150517 我竟无言以对

cxy2244186975

2022-03-05 00:13:04 +08:00

@20150517 随便噎死了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.