【WAF对抗】【宏观思路】WAF攻防研究之四个层次

WAF攻防研究之四个层次Bypass WAF <!–more–> 摘要 WAF攻防研究之四个层次Bypass WAF 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分，也是最有趣的部分，所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”，如果连绕过WAF方法都不知道，怎么保证WAF能保护后端服务的安全。在我看来，WAF的绕过技术的研究将不断驱动防御水平提高。 以前一些WAF bypass的文章更像CASE的整理，都把焦点放在了规则对抗层面。绕过WAF规则，更像是正面对抗，属于下策。一直关注规则层面的绕过，太局限视野，看不到WAF在其他方面问题。木桶原理，防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术，全方位提升WAF的防御能力。 讲完相关攻击技术后，以后再探讨WAF的设计架构、防御策略，这样显得每一处的考虑都是有意义的。 从架构层Bypass WAF 。 从资源限角度bypass WAF。 从协议层面bypass WAF。 从规则缺陷bypass WAF。 参考资料 https://weibo.com/ttarticle/p/show?id=2309404007261092631700&display=0&retcode=6102

Struts2 中的 OGNL 表达式 <!–more–> 正文 Struts2中的OGNL表达式 https://blog.csdn.net/Fly_hps/article/details/79758635