How to Build Cloud Waf

15年做乙方安全的时候,有时候在用户授权下,我们会给用户安装一些主机WAF类的防护软件。
当时想有免费的产品,为什么还会有人买收费的云WAF,这云WAF市场一定不好。
后来,观念逐渐转变。我们私下都开玩笑说,这WAF是躺着赚钱。

不扯淡了。

- 阅读剩余部分 -

URL whitelist Bypass

1. 前言

安全工程师:接口需要验证参数中的URL是否是内部域名。
开发工程师:好的,没问题。

如果不使用已经写好的安全框架,真正让开发去添加一个URL白名单,我相信不少人会出现不同程度的安全问题。

所以,我觉得有必要单独拿出来简单总结下这个问题。

- 阅读剩余部分 -

XML External Entity Injection

XML External Entity Injection(XML外部实体注入),即XXE。

漏洞产生原因很简单,由于在xml1.0标准里,DTD可引用外部实体(entity),如果外部实体可被控制,则可能产生文件读取、dos、ssrf等漏洞。

外部实体支持的协议不同,产生的漏洞类型则不同:
file协议可导致文件内容读取
http协议可导致ssrf
phar可利用phar://filter导致文件内容读取

- 阅读剩余部分 -