关于《WAF攻防之SQL注入篇》的回应

Posted 长亭安全课堂

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于《WAF攻防之SQL注入篇》的回应相关的知识,希望对你有一定的参考价值。

从攻击者角度来看,绕过WAF的基本方法其实不多,如何把这些已知方法融合起来,并结合各自WAF本身的防护特性,不断进行推理,成为突破WAF防护的关键。当然,自动化Fuzz才是WAF Bypass新技术产生的正道。另外,从个人的注入Bypass测试过程看,绕过基于语义识别的WAF比绕过基于规则识别的WAF难得多,值得我们挑战。

 

从WAF产品角度来看,衡量一个WAF好坏的标准是漏报率和误报率的高低,但这些指标建立在以WAF不影响正常业务为前提。测试中我发现,基于规则的WAF对业务的耦合度往往较低,不管是腾讯云WAF还是阿里云盾,对用户的输入都较为敏感,如参数中输入注释符请求就会被拦截。而基于语义的WAF的和业务的耦合度较高,误报率下降明显。从测试结果来看,基于语义识别的WAF相较传统WAF来说有较大优势,值得我们学习和借鉴。

 

——摘自《WAF攻防之SQL注入篇》




身为乙方的胆战心惊


再次感谢银河安全实验室同仁发现的问题,我司慎重对待并已及时修复!


雷池(SafeLine)用户均可下载最新版本更新,持续进行不间断安全防护。


【前情回顾】

文中关于WAF产品表现的部分内容回顾如下:


关于《WAF攻防之SQL注入篇》的回应
关于《WAF攻防之SQL注入篇》的回应
关于《WAF攻防之SQL注入篇》的回应
关于《WAF攻防之SQL注入篇》的回应


身为WAF,似乎终身存在着由“被绕过”围绕的宿命。


雷池(SafeLine)上市一年半以来,在诸多客户和同仁的建议推动下不断完善,一步步推进为更智能、更贴合需求的状态下去服务不同行业、不同业务逻辑的安全产品。

 

长亭人的责任,是始于对技术的热爱,对提升安全防护水平的初衷,将安全产品的能力无限接近最高水准。

 

在此,首次公开最近更新的产品界面。

关于《WAF攻防之SQL注入篇》的回应


更多产品功能更新细节,各位看官请持续关注,敬请期待!


秉持着开放的态度,长亭科技在官网直接部署了雷池(SafeLine)下一代Web应用防火墙,为广大技术爱好朋友提供了测试路径。


官网中同时提供了多个测试Demo,欢迎大家多多来测试,提出更多改进建议。

随时发送至info@chaitin.com

 

SQLChop 

https://sqlchop.chaitin.cn/



XSSChop

https://xsschop.chaitin.cn/



网络安全事关重大,却任重道远,我们需要更广范围内的技术专家同策同力,共同为提升网络信息安全提出不同维度的意见,发出更多不同的声音。

 

从安全管理者角度来讲,安全产品可有效帮助企业提升安全防护水平,但不能消灭攻击入侵事件。希望在众多安全人的努力下,共建一个更安全的互联网世界!


点击阅读原文,查看《WAF攻防之SQL注入篇》全文内容。

以上是关于关于《WAF攻防之SQL注入篇》的回应的主要内容,如果未能解决你的问题,请参考以下文章

SQL注入最易懂教程(12.WAF绕过原理)

sql注入初中高学习

我的WafBypass之道(SQL注入篇)

我的WafBypass之道(SQL注入篇)

Sql注入漏洞之解析各类注入及最全工具和绕WAF技术总结

WAF攻防漏洞利用HPP污染&分块传输&垃圾数据