事先讲解了好多个常用的云WAF旁通机制,这种机制使攻击者能够绕开云WAF。除此之外,有很多其它地方很有可能会泄露Web服务器的真实地址。比如攻击者会运用一些网站应用提供的上传功能,把 含有木马程序的代码发送给网站服务器,随后运行一个从服务器到外部的连接并绕开云WAF。对渗透测试攻防队这块的一些了解比较多,因为曾经在甲方乙方都待过,然后另外就是这个针对渗透测试这块的一些项目经验比较丰富,另外就是踏入安全行业已经多年了,这块的实战经验丰富,并且多次为国家某部门提供这个安全技术支持,以及曾经获得某部的一些表彰,这些都是些虚的。
然后从实的来讲的话,为什么要出这套课程?呢因为是在这个行业内现在一两年中技术的一个变化,以及意味着这些传统的这种waf,就类似于这种硬件Waf,以及一些基于容器的以前那种安全狗云锁之类的Waf,其实已经开始落伍了。因为现在中小企业的这种整体信息,it架构的整体网公有云上签,所以大家可能在做一些实战的时候,可能会经常碰到,比如说阿里云玄武盾之类的这种waf。这个waf呢他是他不单单是基于这种规则的匹配,他可能还会基于机器学习这种样本训练来输出这种规则,然后去这种是比较难绕过的,所以很多的新手在遇到这类Waf的时候都无从下手,感觉。
这也是我为什么要出这套课程的目的,目的是让各位新手或者说初级入门者遇到这些情况的时候能够去对这种原理有所了解,同时能够去有自己的一些绕过想法。另外就是再来给大家介绍一下我们整个课程的这么一个大纲,而我们此套课程主要分为这个国内外主流Waf的绕过,那其中就包括这种成功的漏洞的SQL注入,XSS文件上传类的绕过,另外以及教大家会如何去用自己的一些手法去来pass这种WAF,就比如说用过的这种手段去模糊测试,另外就是当 waf去拦截这种菜刀的数据包的时候,怎么去绕过以及遇到一些website上传的时候,怎么去绕过这个 WAf的拦截?