bypass学习资料

1. 门神WAF众测总结 重点

https://security.tencent.com/index.php/blog/msg/151

2.WAF的介绍与WAF绕过原理

https://cloud.tencent.com/developer/article/1536637

3.WAF绕过奇技淫巧之SQL注入

https://www.ms509.com/2020/06/24/Waf-Bypass-Sql/

4.Bypass WAF Cookbook

https://wooyun.js.org/drops/Bypass%20WAF%20Cookbook.html

5.TSRC挑战赛：WAF之SQL注入绕过挑战实录

https://security.tencent.com/index.php/blog/msg/66

6.浅谈WAF绕过技巧

https://mp.weixin.qq.com/s/Qn-zh7SwG9wA3dGEz_AEqA

开源项目

1.xwaf

https://github.com/3xp10it/xwaf

2.whatwaf

https://github.com/Ekultek/WhatWaf

3.Awesome-WAF

https://github.com/0xInfection/Awesome-WAF

AI bypass

开源项目：

1.waf-a-mole

https://github.com/AvalZ/waf-a-mole

论文：

1.A Machine Learning-Driven Evolutionary
Approach for Testing Web Application Firewalls

2.Detection and Prevention Approach to SQLi and Phishing Attack using Machine Learning

3.Improving Web Application Firewalls to detect
advanced SQL injection attacks

4.WAF-A-MoLE: An adversarial tool for assessing ML-based WAFs

笔记来自：

《大型互联网企业安全架构》第七章

WAF 介绍

1.WAF是Web安全的主要防护手段，可以为修复漏洞创建一定的时间差。

2.常见的开源WAF是 ModSecuritys，支持Apache，IIS和nginx

ModSecuiritys： https://github.com/SpiderLabs/ModSecurity

微软的Azuer云WAF和CloudflareWAF 都是基于它实现的。

3.现在的趋势是用语义引擎和AI引擎代替传统的正则，语义引擎有：Libinjection和libdetection AI引擎有：Wallarm

链接：https://github.com/client9/libinjection

https://github.com/wallarm/libdetection

https://wallarm.com/

4.基于AI引擎的WAF 的最大问题是：检测效率，一般实时拦截不可能使用深度学习，腾讯云的WAF也是使用传统的机器学习，包括使用HMM和SVM HMM做异常分析，SVM用来做威胁识别

5.云WAF的功能：

DDOS防护 入侵防御 CDN加速 防网页篡改 后门检测