JoyChou JoyChou

[置顶] 愿你们既能朝九晚五,又能浪迹天涯

Misc 阅读(5973)
这边文章就当作以后的扯淡、吐槽吧 -,-2014年11月10日今天是一个特别的日子,至于为什么,就不告诉你们了 -)

如何搭建HTTPS的云WAF

Web 阅读(604)
0x00 前言如何建立云WAF这篇文章讲述了我构造http的云WAF的经历。最近博客迁移到了https,所以就存在一个「https的WAF环境,应该如何配置」的问题。0x01 如何配置在手上没有什么资料的前提下,我开始进行大胆猜测。我们知道这个过程一定是:访问https:/...

Nginx CVE-2017-7529 Exploit

Web 阅读(861)
漏洞描述在Nginx的range中存在整数溢出漏洞,可导致Nginx信息泄露。该漏洞用处不大,不过甲方公司要是修复这个漏洞还有点麻烦,建议使用WAF进行拦截吧233

Nginx Config Security

Web 阅读(541)
Github上开源了一款Nginx配置安全检查的工具,叫做gixy,可以覆盖以下的部分问题。在某些情况下,内外网的域名的区分可以根据Nginx配置来判断,比如判断是否include了白名单IP配置。如果没有配置,内网域名就可被外网访问。所以Nginx配置安全检查的优势就体现...

如何搭建云WAF

Web 阅读(941)
15年做阿里云做乙方安全的时候,有时候在用户授权下,我们会给用户安装一些主机WAF类的防护软件。当时想有免费的产品,为什么还会有人买收费的云WAF,这云WAF市场一定不好。后来,观念逐渐转变。我们私下都开玩笑说,这WAF是躺着赚钱。不扯淡了。

Nginx Lua Web Application Security

Web 阅读(895)
0x00 前言我们知道,Nginx Lua经常被用来编写WAF。但随着lua语言的广泛,在其他web应用中也会有大量的Lua。
雷姆
拉姆