169 похожих чатов

Товарищи, поясните мне такую штуку. В каких случаях вы принимаете

решение тягаться с вафом ?
Допустим есть некий поинт который тянется к базе. При прогоне чем-то, пусть будет интрудер, при неких пейлоадах имеем 403.
Вот как понять, стоит тут заниматься сексом пытаясь обойти ваф или не стоит ?
Поделитесь опытом, так как я эту часть совершено не могу понять.

12 ответов

32 просмотра

Вафов много и все они разные. И могут быть настроены сильно по-разному. Разные протекторы. Я бы начал с понимания, что там за ваф. И на что агрится. Опять же, по всяким-разным причинам могут быть и байпассы на каких-то фильтрах. Мне кажется, если б я лез и увидел что-то знакомое из опыта, то ковырял бы. Можно подумать ещё, что вафом может быть не весь домен прикрыт.

Я обычно смотрю, что за WAF. Если Imperva, F5, это гг можно идти дальше. Если Fortinet, то тут надо копать глубже. Т.к. если не иллюзорная возможность поломать сам фортик, если он торчит наружу

Вставить кавычку Если 500 статус, то пытаться раскручивать кавычку обходя ваф

Alex
Вставить кавычку Если 500 статус, то пытаться рас...

Если конечно тебя сразу не забанит))

Андрей-Чернобров Автор вопроса
Alex
Вставить кавычку Если 500 статус, то пытаться рас...

Я думаю, что любой ваф уже на уровне кавычки, просто заблочит этот трафик и никакого 500 статуса там не будет

Sergey Zybnev
Если конечно тебя сразу не забанит))

За кавычку в параметре ваф забанит?

Андрей Чернобров
Я думаю, что любой ваф уже на уровне кавычки, прос...

Как бывший админ WAF скажу, что правильно настроенный WAF никогда не отдаст 5** ответ

Sergey Zybnev
Может забанить

Мне кажется, это редкое явление

Sergey Zybnev
Я обычно смотрю, что за WAF. Если Imperva, F5, это...

Такие еще есть? У меня обычно всегда три сраных вафа попадаются, авс, акамай и клаудфаер...

.
Такие еще есть? У меня обычно всегда три сраных ва...

Конечно. AWS, cloudflare это классика. Клауды легко обходятся. Акамай лично мне не попадался. Но тоже конечно есть. Вариантов много, checkpoint жопошный насколько знаю

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта