1回答
在我最后一年的项目中,我想对2 WAF的ModSec/Shadow Daemon和基于网络的蜜罐陷阱/坦纳进行比较分析。内嵌WAF</em
浏览 0提问于2019-04-01得票数 2
1回答
这里的简单问题: AWS WAF是否对它阻止的请求收费?
WAF的提到“您将被web ACL处理的web请求的数量收取费用”。这是否意味着任何访问WAF的请求,还是只针对允许通过的请求?我需要知道,因为我计划使用WAF对请求进行等级限制,并试图防止拒绝Wallet攻击。如果所有请求都由WAF负责,那么拒绝钱包攻击仍然是可能的,因为这些请求都是付费的。
浏览 4提问于2019-12-11得票数 0
回答已采纳
1回答
在我的项目中,我们使用WAF。最近,我发现了一个bug,例如,当我们在文本框中添加多个空格时你好,这是一个多间距的单词集合。
注意:如果我从UI中删除额外的空格,它就能正常工作。所以我很想知道WAF为什么会阻止这个请求?
浏览 2提问于2022-08-05得票数 2
另一个好处可能是它将一些原本属于应用程序B的工作(如密码学、消息验证、检测可能的攻击等)卸载。并可能为DoS攻击提供额外的保护。我的解释对吗?
浏览 0提问于2014-02-28得票数 0
回答已采纳
但是,当我查看Layer7 Ddos攻击时,我发现它们通常是基于HTTP/HTTPS的攻击。我有三个问题;使用WAF保护ddos是一种更好的方法吗?
浏览 0提问于2021-03-03得票数 1
回答已采纳
3回答
我读了这个页面:类别:OWASP最佳实践: Web应用程序防火墙的使用,我发现WAF通常无法检测逻辑攻击。此外,我想知道在WAF中使用代码分析的优点是什么?我谷歌了一下,找不到任何WAF,它使用代码分析来生成规则、提高性能和减少误报。
浏览 0提问于2018-01-15得票数 4
一个带有“被xxxx黑客攻击”的html页面被上传到web服务器上。经过调查,确定一个webshell是通过利用漏洞上传的,并且“被xxxx攻击”的html页面是使用该web shell“创建”的。问题是,WAF可以阻止/检测文件创建/上传通过web shell,或者它只是对待它像任何其他日常上传/下载活动。另外,我知道WAF可以阻止和检测web shell。但是那些模糊的
浏览 0提问于2017-02-02得票数 1
我正在写一个基本的WAF,现在我必须识别攻击向量。当我检测到SQL注入或任何其他类型的入侵尝试时,我需要检查通过每个$_POST和$_GET输入提交的数据。
浏览 1提问于2014-07-13得票数 0
回答已采纳
假设web应用程序在配置良好的WAF后面,是否仍然存在与HTTP注入相关的攻击窗口,如SQLi、XSS、LFI、HTMLi?
如果是这样,WAF是否被认为是一项多余的防御措施?
浏览 0提问于2018-06-11得票数 0
回答已采纳
使用蝗虫,我对我的应用程序进行了WAF测试。在默认的5分钟窗口中,如果请求超过100,我制定了基于速率限制的规则来阻止IP。当我用并发400和产卵率为40进行测试时,WAF不会在总请求超过100之后阻塞。但是当我停止测试,在蝗虫中做一个新的测试,然后只有WAF阻止那个IP 5分钟。我测试了很多次,并发现当我做第一次蝗虫测试,WAF是不工作,即使条件满足。但如果我停止那个测试然后再做一个新的测试的话。我阻止WAF的目的似乎不可行,因为攻击者可以使用巨大的请求进行攻击,这不
浏览 8提问于2022-02-03得票数 -1
回答已采纳
1回答
我的公司正在使用来自第三方的WAF solution,而当前的monolith应用程序也受到它的保护。对于新站点,我已经将api.mysite.com放在WAF后面,但我不确定是否需要将静态站点放在WAF后面?这主要是关于防止网站的DDOS攻击或机器人等,我们以前有很多攻击,所以我想确保我做的事情正确的方式。
浏览 0提问于2018-11-04得票数 7
回答已采纳
是否有可能通过任何AWS安全服务(如WAF或CloudFront )防止单击劫持或"UI补救攻击“?众所周知,某些安全HTTP报头可以添加到用户请求中,这些请求将指示浏览器强制执行以下安全措施:
可以在后端代码级别配置这些参数,但是,我想知道,如果不希望在应用程序级别设置这些参数,可以在AWS级别使用它们的安全网关服务(如WAF或CloudFront )来实现吗?
浏览 2提问于2019-10-15得票数 1
token=personal-token-should-go-here
然而,即使没有提供token,我的服务器和应用程序逻辑仍然受到攻击,这意味着匿名攻击者可以在没有登录的情况下淹没我的服务,使我的服务瘫痪我最近遇到了WAF,他们承诺充当中间人,过滤滥用攻击。我的理解是,WAF只是反向代理我的API,并在将请求委托给我实际的后端之前应用一些已知的攻击模式过滤器。我真正不明白的是:如果攻击者可以直接访问我后端的IP怎么办?!难道他不能绕过网站管家直接DDoS我的后台吗?
浏览 23提问于2019-08-03得票数 0
基于DOM(类型0)的XSS不需要向服务器发送恶意代码,因此它们也可以使用静态HTML页面作为攻击载体。以下是虚拟攻击字符串的示例:我很熟悉,ModSecurity在PDF中提供了对被认为是0类攻击的XSS攻击的保护,但是我的问题是,ModSecurity是否在一般情况下防止这种类型</em
浏览 0提问于2010-12-10得票数 3
1回答
我希望在HTTP请求内容到达服务器之前找到验证HTTP请求内容的通用方法。我向公众公开了一个API,我希望通过任何允许以下规则的代理来过滤对API的请求。POST: my_server/data/colection "key1": "stringValue", "key3": true我想证实以下事实:
"key1“是一个字符串,必需
浏览 1提问于2016-11-18得票数 2
4回答
调查和检测不良用户行为或攻击的最佳方法是什么,比如拒绝服务或在我的web应用上利用漏洞?有没有其他(更好的)方法来分析和检测这种试探性的攻击?
注意:我说的是基于URL的攻击,而不是对服务器组件(如数据库或TCP/IP)的攻击。
浏览 1提问于2008-09-26得票数 1
回答已采纳
我正在评估SonicWALL SRA虚拟设备上的Web应用程序防火墙(WAF)服务。当我试图加载受保护的网站时,SonicWALL会用以下错误阻止我的请求:“重置连接以防止拒绝服务攻击--从同一个客户端接收太多连接”。这些错误出现在主系统日志中,而不是WAF日志中。是否有办法使SonicWALL允许来自我的客户端的大量请求,并将它们传递到其WAF服务?
浏览 0提问于2012-06-18得票数 0
1回答
我的一个客户网站遭到黑客攻击。每个匿名用户都会在我的网站主页(default.aspx)上添加不必要的代码和超链接。Plesk域用户(sadgutn8)
早些时候,它对每个人都有权限(完全控制),但我已经删除了它;我还更改了所有C面板和FTP帐户,password.But仍然是黑客不断的攻击有人能建议我如何防止我的网站受到这些攻击吗?
浏览 4提问于2015-11-17得票数 1
2回答
登录后,服务器可以在API和WAF级别检查授权、令牌等,以减少DDoS攻击。但这只能在用户登录之后才能发生。如何保护登录API上的DDoS攻击?我想我们可以使用ip地址作为检测攻击的提示之一,但是还有哪些其他选项可用呢?谢谢!
浏览 0提问于2019-10-06得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
