小迪安全day08信息收集-架构    
    
    
，搭建  


     


     


     ，WAF

找出所有能够测试的点


 




 




 



，并找出其中最脆弱的点进行猜测

站点搭建分析

目录型站点

…com/…/…/…

端口类站点

…com:8080/login

子域名站点

www.good.com

bbs.good.com

两域名有可能不在同一个服务器上   

   

   

，只在同一个网段上

类似域名站点

.cn .net .org…

旁注,C 段站点

旁注：同服务器不同站点

192.168.1.100

www.a.com

www.b.com

间接获取站点信息

独立站点服务器

c段：同网段内不同服务器不同站点

192.168.1.101

www.c.com

www.d.com

搭建软件特征站点

WAF

Web应用防护系统（也称为：网站应用级入侵防御系统 
    
    
    
。英文：Web Application Firewall   

     

     

    ，简称： WAF）用户一般采用防火墙作为安第一道防线
     


     


     


。在现实中



  




  




  


，Web服务器和应用存在各种安全问题  


  


  


，普通防火墙难以检测和阻断的    
     
     
   ，由此产生了WAF 




 




 




 。—dns域名服务器和路由器之间




   




   




   

，分为软件和硬件 

   

   

   
。

Web应用防护与防火墙不同 



 



 



，WAF工作在应用层                 ，对来自Web应用程序客户端的各类请求进行内容检测和验证




    




    




    
，确保其安全性与合法性















，对非法的请求予以实时阻断                ，从而对各类网站站点进行有效防护
     

     

     

。