GD
если бы мыло выплатило б как verizon media
может это потому, что у них с безопасностью лучше? )
Size: a a a
2020 March 23
NM
почему почти -.-
доклад с ютуба смотрел, круто что уже больше ))
2020 March 24
IS
Доброе утро, кто что скажет про акамаевский ваф, вроде перелопатил Гугл но инфы не много, может кто описание к нему нормальное встречал
BF
Он так же обходится, как CloudFlare
BF
Находишь реальный IP сервера и вперёд
IS
Находишь реальный IP сервера и вперёд
Если хостинг не у них же, а так да что-то я не подумал ип поискать😁, мы индейцы простых путей не ищем
BF
Вроде клаудфлейровский ваф работает на уровне приложений исключительно
BF
Да и большинство их тоже
BF
Так что если применять трюки на уровне TCP/IP типа разбиения пакетов то можно попробовать обойти
IS
Так что если применять трюки на уровне TCP/IP типа разбиения пакетов то можно попробовать обойти
Вот не пробовал, надо будет протестить
BF
И я не пробовал, но файрволлы уровня приложений действительно дерьмищно относятся ко всему, что ниже HTTP/HTTPS
BF
#sql #injection #sqlmap #waf #bypass #tamper
[ инструмент для помощи в обходе WAF. Работает в паре c SQLMAP и пробует разные его моудли (tamper) для успешной эксплуатации уязвимости ]
https://github.com/m4ll0k/Atlas
[ инструмент для помощи в обходе WAF. Работает в паре c SQLMAP и пробует разные его моудли (tamper) для успешной эксплуатации уязвимости ]
https://github.com/m4ll0k/Atlas
BF
Имеет смысл отсюда выдрать разные техники обхода и имплементировать в качестве процессоров для Интрадера Бёрпа
IS
И я не пробовал, но файрволлы уровня приложений действительно дерьмищно относятся ко всему, что ниже HTTP/HTTPS
Ну опять же если ваф работает как часть веб-сервера ( акамая ваф как я понял переписанная модсекьюр) то ему всеровно на уровни ниже он имеет дело уже с пакетами хттп
IS
#sql #injection #sqlmap #waf #bypass #tamper
[ инструмент для помощи в обходе WAF. Работает в паре c SQLMAP и пробует разные его моудли (tamper) для успешной эксплуатации уязвимости ]
https://github.com/m4ll0k/Atlas
[ инструмент для помощи в обходе WAF. Работает в паре c SQLMAP и пробует разные его моудли (tamper) для успешной эксплуатации уязвимости ]
https://github.com/m4ll0k/Atlas
Спасибо, поковыряюсь в нем
BF
Спасибо, поковыряюсь в нем
я видел и более взрослые пакеты для тестирования вафов, стоит попробовать их наверное. В репозитории Awesome WAF есть несколько штук таких
IS
Я встречал пару биг ип которые вообще не обрабатывали хттпс если коннектится принудительно выбранной версией
IS
я видел и более взрослые пакеты для тестирования вафов, стоит попробовать их наверное. В репозитории Awesome WAF есть несколько штук таких
В авесом ещё далеко не все перелопатил)
BF
В авесом ещё далеко не все перелопатил)
А как ты их тестишь кста? Просто берёшь и закидываешь рандомными запросами? Я просто не умею вафы обходить кроме как через прямой доступ по реальному айпи-адресу, для меня клаудфлейр это уже кошмар))0
IS
А как ты их тестишь кста? Просто берёшь и закидываешь рандомными запросами? Я просто не умею вафы обходить кроме как через прямой доступ по реальному айпи-адресу, для меня клаудфлейр это уже кошмар))0
Руками делаю запросы и смотрю ответы, а далее енкоды, бондари итд