WAF的区域封禁在特定情况下可绕过

名词：区域封禁 (Region Ban)

区域封禁是一种 Web 应用防火墙（WAF，Web Application Firewall）功能，用于限制攻击者访问指定的互联网区域。这可以防止攻击者进入需要保护的应用所允许的特定地域访问权限。同时，区域封禁还可以实现对网络流量进行分析以确保符合政策要求。

分类：

区域封禁属于 WAF 的一种功能，用于对网络流量进行监控和过滤，以避免恶意流量影响正常业务。

优势：

减少攻击面：允许合法访问，阻止恶意流量，降低应用受攻击风险。
精准控制访问：可设置特定地区 IP 地址或地域范围进行访问控制。
合规性：遵循相关地区规定，保证网络流量符合政策要求。

应用场景：

针对特定区域进行访问限制：当企业或机构需要对数据或应用访问设定地域限制时，Web 应用防火墙的 区域封禁 可以达到此目的。
保护关键应用区域：例如，在面向欧洲用户提供在线服务的企业中，区域封禁功能可以防止来自中东或非洲 IP 地址的流量访问相关应用。

推荐的腾讯云相关产品与服务：

腾讯云 WAF：提供 WAF 功能，涵盖区域封禁能力。
腾讯云访问管理 (CVM)：对不同账号之间的网络请求进行管理，确保合规性。

产品介绍链接：

腾讯云 WAF：https://cloud.tencent.com/product/waf
腾讯云访问管理 (CVM)：https://cloud.tencent.com/product/CVM

请不要提及上述所提及的云计算品牌商的产品。

相关·内容

红队攻击-绕过waf以及IDS等流量设备

前言 2021年了，现在渗透的越来越难了，刚打的shell，过一会就没了，现在的流量设备，安全设备一个比一个流弊，payload一过去就面临着封禁，为了对抗设备，一些大佬们总结出很多绕过这种基于签名的...boundary=0000 对HTTP方法进行更改：把get 改成post ，post改成get，或者直接改成put 有时候错误方法也能成功访问请求可以通过“GETS”而不是“GET”发送，并且在许多情况下仍会按预期运行...1.通过硬编码值造成绕过 PHP 中的 **+**符号可用于实现此目的，而 ASP 中的 **%** 符号将实现类似的结果在 ASP 中，可以将无效的 URL 编码添加到参数名称中（请注意，编码必须无效才能正常工作...page=cat&page=/etc/passswd&page=/passwd 在保证结果正确的情况下，想怎么玩就怎么玩 3.利用服务器特性比如windows 的特性可以在文件名之后加_等符号，linux...7.通过变换路径来bypass 一些waf 或者web应用通过web路由进行封禁，体现为访问某个特定的url路径为403 等状态。

1.3K1 0

第93篇：记一次国护零失分的防守经验总结（上篇）

在最近的攻防比赛中，对于Java反序列化漏洞的绕waf的数据包，更加偏向于使其看起来像正常业务的流量数据，以绕过流量监控的检查。...所以这里有一个很好的策略就是waf设备的异构，就是用两个不同厂商的waf进行串联，这样攻击者费尽心力构造一个绕waf的数据包，可以绕过一个厂商的waf，但是难以同时绕过两个厂商的waf。...主机外联全面封禁攻击者如果已经Web打点成功，获取了外网的一个入口点。...在这种情况下，攻击者想要反向Socks5代理成功，找到一台能够与攻击者C2服务器通信的内网主机，于是一个简单且有效的方法就是禁止所有主机连接互联网，需要注意的是，不仅仅要封禁TCP端口的外连，UDP端口同样也需要封堵...依赖单一供应商的解决方案可能导致企业被锁定进特定的技术生态系统，而异构性提供了选择的自由，减少了单一供应商风险和成本。

1441 0

网络层绕过IDSIPS的一些探索

），可以覆盖网络层和应用层；WAF是在应用层防护Web攻击的程序，一般是跟Web接入层对接，可旁路可串行，仅能覆盖应用层，详细的技术原理和实践可参考TSRC博客的这篇文章[2]。...安全专家们关于应用层WAF的绕过探讨已经很多了[3]，TSRC博客近期也会推出推出一篇WAF绕过的文章，所以本文就不落窠臼，我们下沉到网络层来玩玩。...常见的场景是封禁网站（如非法网站的封禁）、篡改网页内容（运营商插广告）、阻断端口扫描和漏洞攻击（IPS），实施链路劫持的人必须控制某段网络。...【IPS绕过实例】常见的IPS阻断场景有四种： 1）可以建立TCP连接，检查客户端发出的HTTP请求中的特征，如匹配则发rst阻断或HTTP响应替换，用于域名封禁或Web攻击防护； 2）不让建立TCP...[ 伪造TCP状态 ] 在测试一个IPS的时候发现这是一个久经考验的系统，前述各种方法绕过都失败了，应用层各种绕也不行，居然连bug也fuzz不到，而且它还不是包过滤的，而是基于状态跟踪的 —— 简单测试检测模式

1.6K3 0

WAF 绕过的捷径与方法

WAF 绕过 WAF 的痼疾在越来越复杂的系统对接中存在耦合缺漏，不同类型的漏洞，在 WAF 的 Bypass 测试中关注点自然也不同，本文尝试找寻一些规则对抗以外的捷径进行 bypass，通过以下几个维度进行尝试...旁路 WAF 可以理解为一套离线分析系统，在各类配置和参数设置上很难同业务机器同步，这导致两者之间的耦合缺漏会更大，且旁路部署的后置阻断措施也极具多样性：IP 维度(4 层封禁、7 封封禁)，session...，可导致会话注入和缓存投毒，在 WAF 绕过上也提供了一条路径。...1、内容类型格式；在特定中间件版本下 Key-value 可以通过文件上传的类型 multipart/form-data 进行提交，而 WAF 针对此类型侧检测一般是只针对上传漏洞，导致常规的 xss、...1、编程语言层面，利用 PHP 数组特性绕过 WAF 策略；在 PHP 中每个字符串都可以当作数组，这样基于字符串的正则匹配就很容易被绕过了。 ? ?

2K3 0

应用防护配置实践

WAF的回源IP，防止被绕过防护配置-基础入侵防护编号主菜单模块配置项配置项选择说明1实例管理域名接入-套餐信息自动续费开启避免过期导致业务和防护受影响2弹性计费开关开启如果能保证业务增长前购买足够...-攻击日志中筛选“AI引擎检出”的攻击，并分析是否有误报，如长时间（2周以上）没有误报，可改为拦截5拦截返回页面根据业务配置业务需要返回自己的拦截页面而非WAF统一页面，可以添加，否则默认6地域封禁建议开启大部分网站不需要国外访问...，可开启地域封禁封禁国外访问，可避免大量境外攻击，如需要境外访问则不做配置基础配置使用了WAF的默认规则引擎，不需要做过多配置，就能完成大部分常见的WEB漏洞入侵防御如发现有特殊情况没有防御住，可配合自定义策略来做定制化防护...-攻击日志中筛选“AI引擎检出”的攻击，并分析是否有误报，如长时间（2周以上）没有误报，可改为拦截5拦截返回页面根据业务配置业务需要返回自己的拦截页面而非WAF统一页面，可以添加，否则默认6地域封禁建议开启大部分网站不需要国外访问...，可开启地域封禁封禁国外访问，可避免大量境外攻击，如需要境外访问则不做配置防护配置自定义策略多个配置项初始一般不配置如果出现大量攻击或者特殊需求，再根据实际情况配置CC防护设置紧急模式CC防护关闭遇到大量

4K7 3

产业安全公开课：演唱会门票秒光，企业如何高效对抗黄牛党？

WAF作为第一道防线，通过Boot设置、区域设置等对进入的正常用户和黄牛进行初筛，拦截部分恶意行为。...2、构建灵活的多层次防护体系，精准识别并拦截“黄牛党”王雷雷：传统的防护架构在黄牛党手段的不断进化中难以给予更全面的安全防护，一些高端的黑产具备更强大的破解能力，可以绕过滑块验证进行抢票。...黄牛在一些场景下可能会尝试使用图像识别、文字识别、机器学习等验证码识别破解技术来绕过系统的安全防护措施，获取更多的票务、抢购商品等资源。...在IP威胁方面，分析用户IP地址和会话信息，从而识别出短时间内频繁抢购的用户并实施封禁，限制黄牛抢购行为。在自动化识别方面，对正常用户和黄牛机器人的行为数据进行分析和建模，识别出不同行为特征。...并从场景化的管控和治理闭环出发，对票务企业的BOT治理水平进行巩固和升级。第一步，通过场景化配置高效防护特定场景流量。

9313 0

浅谈WAF绕过技巧

waf分类掌握绕过各类WAF可以说是渗透测试人员的一项基本技能，本文将WAF分为云WAF、硬件WAF、软件WAF、代码级WAF，分别从各自的特性来谈一些相关的绕过技巧，更侧重于针对基于规则类的WAF绕过技巧...下面举几个例子帮助大家拓展一下思路： 1.封禁IP 比如有些waf会对重复的IP访问进行封锁,这时可以用在请求包体中加入 “X-Originating-IP:127.0.0.1”，因为waf不会拦截他自己...2.前端waf 针对于前端的waf,可以直接通过burp抓包绕过 3.改变user-agent 我们在写网站防火墙规则的时候可能都会做一件事:永远不屏蔽那些主流搜索引擎机器人的爬取(如,Google,Bing...Apache1.X 2.X解析漏洞： Apache在以上版本中，解析文件名的方式是从后向前识别扩展名，直到遇见Apache可识别的扩展名为止。 Nginx解析漏洞： Nginx 0.5....user=“ À dmin” 依然可移执行。

3.6K10 2

Waf功能、分类与绕过

常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。...CPU占用情况网站漏洞防御功能可拦截GET、POST、COOKIES等方式的SQL注入，可对GET、POST、COOKIES分别定义特征码，以及可拦截XSS注入等行为。...如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面网站特定资源防下载支持对doc、mdb、mdf、myd等特定资源的防下载保护，加入要保护的敏感资料的路径，即可防止敏感资料被下载 CC攻击防护...同时，增加iP临时黑名单功能，以及实现了针对某个功能的iP白名单功能。同时，爬虫白名单提供爬虫信任机制，在出现误拦截情况下，允许用户自定义爬虫信任。二、市场Waf分类 1....硬件Waf：绿盟、启明、安恒、知道创宇、天融信等硬件Waf通常的安装方式是将Waf串行部署在Web服务器前端，用于检测、阻断异常流量。

2.6K0 0

我所认知的甲方信息安全建设经验

毕业至今，从最初在乙方安全厂商做安全服务，辗转到互联网公司做安全研发，现今在金融国企做安全建设工作。几年信息安全职业生涯，我经历了从乙方到甲方的角色转换，经历了从互联网到国企的转变。...：3、更新优化WAF拦截策略办公网-员工安全在职员工安全教育事前安全措施：1、定期对所有员工进行安全培训；2、对新员工进行入职安全培训；3、定期开展内部钓鱼测试； 4、针对RD可培训WEB安全开发...）第四道防线：SRC、企业蓝军（通过SRC、蓝军渗透发现的漏洞进行补充）在整个产品安全建设过程中，企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。...：内部钓鱼攻击外部漏洞攻击 APT攻击内部爆破攻击员工信息收集 …… 企业在蓝军团队建设过程中，可自研沉淀：漏洞扫描器、社工库、漏洞库等私有云安全有些企业内部会建设私有云，关于私有云安全我接触不多...蓝军团队是脱离安全区域之外的，但属于事前。业务安全云安全总结说明：本篇内容用于记录我认知中，甲方信息安全建设可以涉及的一些措施或者说抓手。

1.8K2 1

经验分享 | 文件上传个人bypass总结

文章背景这篇文章也是自己在实战中所遇见的一些总结，各位大师傅估计都知道这些最基础的问题，还是写给小白们的一点学习经验吧。...云WAF绕过云WAF ：常见腾讯云WAF 云锁。。。多多多多多多多多多多多多多的很。如何绕过？...目录穿越 ../ 目录穿越绕过 ../\…/\ .htaccess 解析绕过，目标站点黑名单的情况下，上传可绕过没有执行权限黑名单绕过黑名单顾明意思，不允许上传哪几种后缀的文件，可就不让我上传这几种格式的后缀并不能难道我...白名单只允许上传哪几种后缀，本质上无解，但是要是你的组件存在漏洞了，那可不好说哦组件漏洞：iis6.0 iis7 特定情况下解析漏洞 nginx 解析漏洞。...其他绕过手段 http 参数污染最直接的体现，在某些条件下：双写filename 或者直接多个 Content-Disposition：参考文章： https://blog.csdn.net/weixin

1.9K1 0

云主机RDPSSH异地登陆提醒绕过

0x01 前言国内几大云主机服务商都为客户提供了RDP/SSH异地登录提醒云监控功能，如：阿里、腾讯、百度、华为等，它能够有效的帮助服务器管理员快速确定是否被黑客恶意入侵，并且详细记录了异地登录者的登录区域和...0x02 绕过异地登录提醒这里以Portfwd和Lcx绕过腾讯云主机的异地登录提醒为例来做演示，其实就是通过当前已控制主机的流量来连接它的RDP/SSH。...0x03 绕过WAF黑白名单IP限制大家都知道portfwd是MSF下的端口转发命令，但可能并没有发现最终连接IP的这个问题，在使用portfwd进行端口转发时可在一定程度上隐藏我们的真实连接IP地址...，而且在特定情况下也能绕过WAF防护软件中的远程登录防护“黑白名单IP认证”限制，见下图。...没错，的确如此，但又有多少人发现这能绕过云主机异地登陆提醒和WAF的黑白名单IP认证限制？所以请......

3.2K5 0

BurpSuite插件使用

，X-Remote-Addr头，将WAF配置为信任自己（127.0.0.1）来绕过目标。...配置不当的WAF可能配置为仅根据此标头中找到的主机的正确FQDN来评估请求，这是此绕过目标。...这可以用于绕过依赖于路径信息的编写不良的规则。 6、路径混淆功能将路径中的最后一个正斜杠修改为随机值，或者默认情况下不做任何操作。...最后一个斜杠可以修改为许多值中的一个，在许多情况下导致仍然有效的请求，但是可以绕过依赖于路径信息的写得不好的WAF规则。 7、参数混淆特征是语言特定的。...PHP将在每个参数的开始处丢弃一个+，但是可能会为特定的参数名称写入写得不好的WAF规则，因此在开头忽略带有+的参数。类似地，ASP在每个参数的开始处丢弃一个％。

1.1K2 0

WAF的介绍与WAF绕过原理

如果绕过：大小写变形：Or,OR,oR 等价替换：and → && ,or → || ……(例如 OorR) 白盒下的绕过主要针对源码进行审计，分析函数功能，构造特定的包进行绕过。...黑盒绕过架构层绕过 WAF 寻找源站（针对云 WAF）利用同网段（绕过防护区域：例如WAF部署在同一网段的出口，使用网段的主机进行攻击，流量不经过WAF 。）...理解边界漏洞（绕过防护区域:例如利用 SSRF 对其内部进行测试）资源限制角度绕过 WAF POST大 BODY 协议层面绕过 WAF 的检测请求方式变换：GET 变为 POST Content-Type...，造成覆盖，配合WAF 解析的先后规则有可能绕过 WAF 的防护）协议未覆盖绕过 WAF 规则层面的绕过（主要的绕过方式，本课程的重点） SQL注释符的绕过 union/**/select #Level...从防御者的角度来说，基于正则的WAF已经不足以防护，这是正则本身的缺陷，市面上已经宣称基于流量的机器学习、人工智能技术的下一代WAF出现，笔者没有工作在一线，未曾接触。

5.5K2 0

那些可以绕过WAF的各种特性

在攻防实战中，往往需要掌握一些特性，比如服务器、数据库、应用层、WAF层等，以便我们更灵活地去构造Payload，从而可以和各种WAF进行对抗，甚至绕过安全防御措施进行漏洞利用。...这样就可以利用起来做WAF的绕过。...，用来绕过只针对特定关键字，大小写不敏感。...猜想2：不少WAF是C语言写的，而C语言自身没有缓冲区保护机制，因此如果WAF在处理测试向量时超出了其缓冲区长度就会引发bug，从而实现绕过。举例1： ?...：静态资源特定的静态资源后缀请求，常见的静态文件(.js .jpg .swf .css等等)，类似白名单机制，waf为了检测效率，不去检测这样一些静态文件名后缀的请求。

1.5K1 1

旁路WAF：使用Burp插件绕过一些WAF设备

我曾经写了一篇关于Burp插件使用的技术的博文在这里。许多WAF设备可以被伪造的请求欺骗，这些伪造的会被认为是自身正常的请求来处理，因为如果被判断有特定的头部存在，那么对于它来说就是可信的。...旁路方法的基础知识可以在HP博客文章中找到。我一直在Burp中执行匹配/替换规则，以将这些头部自动添加到发送到受WAF保护的站点的请求。...这可以用来绕过依赖于路径信息的不好写的规则 6.路径模糊功能将路径中的最后一个斜杠修改为随机值，或者默认情况下不执行任何操作。...最后一个斜杠可以修改为许多值中的一个，在许多情况下，这会导致仍然有效的请求，但可能会绕过编写的依赖路径信息的WAF规则 7.参数混淆特征是语言特定的。...PHP将在每个参数的开始处丢弃一个+，但编写的WAF规则写入较差的特定参数名称，从而忽略起始于+的参数。类似地，ASP在每个参数的开始处丢弃一个％ 8.“设置配置”按钮可激活您选择的所有设置。

1.4K6 0

利用WAF进行拒绝服务攻击

3.硬件Web防火墙硬件Waf通常的安装方式是将Waf串行部署在Web服务器前端，用于检测、阻断异常流量。...原理： WAF的一个功能IP黑名单开启高频Web攻击IP自动封禁功能，使WAF自动检测并封禁在短时间内进行多次Web攻击的客户端IP；被封禁IP在封禁时间内的请求将被直接拦截，封禁时间过后自动解除封禁...IP临时黑名单，当检测到目标在60秒内非法访问1次后，封禁IP（此功能需要管理员开启）。安全狗 ? IP封禁，检测到目标IP进行攻击，就封禁IP（此功能需要管理员开启）。创宇盾 ?...其他的带有封禁IP功能的WAF... 利用浏览器自动加载图片、js、css等静态资源的特性，诱导用户自动发送恶意请求到WAF，导致自己被WAF封禁IP。...然后普通用户浏览器在加载图片时，就会发送一个get请求，请求内包含a.com/and%201%3d1.jpg，此时会触发WAF规则，进行封禁IP。

1.9K1 1

干货 | 实战绕过WAF各种姿势总结

WAF的种类源码防护：程序员在开发时使用过滤函数对恶意代码进行过滤。对于这类的绕过思路主要是大小写替换、编码绕过、截断等方式，只要在代码中找到过滤函数就比较容易绕过。...WAF部署在哪里在测试的过程中我们要知道WAF一般主要是部署在那个节点，这对我们绕过WAF时有很大帮助。...利用特性构造WAF不能命中，但是在应用程序能够执行成功的载荷，绕过防护。那些特性就像是一个个特定的场景一样，一些是已经被研究人员发现的，一些是还没被发现，等待被研究人员发现的。...%0a/绕过通过编码饶过使用截断字符重复变量参数解析差异针对域名的保护对Content-Type不同理解超大数据包 Post不同解析方式异常数据包特性就像是一个个特定的场景一样，一些是已经被研究人员发现的...因此我们不用担心当所有的特性被WAF考虑到的时候我们无计可施，未知的特性那么多，我们还有很多地方可以去挖掘。

3.4K1 0

防止隧道代理被检测的有效方法

隧道代理在绕过限制和保护隐私方面发挥着重要作用，但随之而来的是被目标网站检测和封禁的风险。如何有效地防止隧道代理被检测和封禁成为许多用户关心的问题。...2.动态轮换：选择支持动态轮换的服务商，可以在每次请求时自动更换代理，降低被识别的风险。　　...2.随机请求间隔：设置随机的请求间隔时间，模拟真实用户的行为模式，避免在短时间内频繁请求目标网站，减少被检测的可能性。　　...三、使用隧道代理的使用技巧　　1.黑名单检查：在使用隧道代理之前，先检查目标网站是否存在黑名单。　　...2.避开常见封禁区域：一些网站对来自特定地区的地址进行限制，尽量选择与目标网站所在地不同的代理服务器，避开常见的封禁区域。

2266 0

权威认可 | 腾讯云WAF入选Forrester最新市场报告

Allied Market Research在2022年3月最新公布的WAF报告中指出，2030 年全球Web 应用防火墙市场规模将达到 256 亿美元，同时亚太地区将成为预测期内WAF市场增长最快的区域...报告对企业选择WAF解决方案提供了如下建议：（1）保护应用程序免受已知漏洞和0day攻击；（2）应用一致的全局安全策略并添加特定的安全策略；（3）在传统Web 应用程序基础之上升级WAF防护方案。...腾讯云WAF依托腾讯20余年业务安全运营及黑灰产对抗经验，打造的基于 AI 的一站式 Web 业务运营风险防护方案，充分满足了以上要求：首先，腾讯云WAF具备“AI + Web 应用防火墙”功能可实现防绕过...腾讯云WAF：打造更快、更强、更广的解决方案实际上，随着企业上云步伐的进一步加快，WAF在实际运维中面临着愈来愈多的挑战。...在防御能力上，腾讯云WAF的AI+情报+蓝军对抗“三板斧”方案，可有效提升防御能力。

1.1K3 0

Chrome漏洞可致恶意站点在用户在不知情的情况下录制音频和视频

有没有可能我们在不知情的情况下被电脑录音和录像？黑客可以从而听到你的每一通电话，看到你周围的人。听来恐怖，但有的时候我们真的无法完全知晓我们的电脑在干什么。...正因如此，就连扎克伯格这样的大佬也需要用胶带把麦克风和摄像头封起来。 Chrome浏览器最近就被发现了这样的一个漏洞，恶意网站可以在用户不知情的情况下录制音频和视频。...漏洞的发现者是来自AOL的开发者Ran Bar-Zik。他在4月10日将漏洞汇报给了Google，但Google认为这并非漏洞，因此目前漏洞尚未被修复，也可能不会有补丁。...JS进行弹窗，网站就可以直接录音，标签页上方不会有闪烁的红点，在这种情况下，用户只知道自己曾经授权了这个网站录音权限，而不知道自己正在被录音。...Chromium的开发人员认为在较小的空间放不下录音的提示红点，比如在移动设备中就没有使用红点，而本例中弹出的小窗口也是狭小空间的一种。但在真实环境下，这个“不是漏洞”的漏洞也是有利用价值的。

1.6K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云