F5-ASM-AdvWAF-Brute Force Attcks(十四)

最新推荐文章于 2025-05-13 11:23:16 发布
原创 最新推荐文章于 2025-05-13 11:23:16 发布 · 438 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1,做Brute Force防护简单来说就是要识别人和机器的差别,F5根据source IP、username、Device ID判断,

Device ID就是F5根据一些客户端特性,将每个客户端定义成唯一,然后做判断,因为经过nat、代理源地址可能是一个,所以不能单纯根据IP做判断。当F5判断客户端有问题时候,会发一个JavaScript脚本给客户端,也会发CSPTCHA给客户端,做CSID时候要客户端支持JavaScript,假如客户端不是浏览器,小程序,杀毒软件不允许运行JavaScript那就比较坑爹了。下图是人和bot的差别的分析,F5就是根据这个原理做防护的

F5检测到Brute Force可以做如下动作

上demo

先到leaning and blocking setting

确保Brute Force开启

定义login页面,配置过去检查时间,配置触发情况F5动作

   到user_login.php页面登陆测试,手动,或者用hrdra工具均可,多试几次,因为需要时间去判断,

查看log(看log位置不一样了)

 

这里只做了根据username做了演示,也可以根据其他作为判断条件

这里做一个distributed brute-force pretect说明,当多客户端做login的登陆探测时,就要启用该功能,但是只能根据Device ID或者IP Adress

在做个client side integrity测试

到user_login.php页面做多次登陆

三次登陆失败我们看的浏览会短暂的出现一个白色页面

出现白色页面说明F5在做client side intergrity,我们看看发了什么

 第三次访问的截图

再试几次我们又看到了capache

是因为这个选项起作用

 修改CAPCHA提示语

F5 ASM应用安全管理测试方案.docx
10-12
F5 ASM应用安全管理测试方案.docx
F5-ASM-AdvWAF-manual learn mode-negative(五)
ITdoggg的博客
08-17 721
一,学习模式是asm日常运维的核心, 简单来说就是上ASM策略后,看学习建议(violation),判断是不是误报(false positives),下决定,直到达到我们预期 二,通过demo说明 violation:请求到达F5时,F5根据配置的策略检查该请求,如果该请求不符合F5配置的策略,那么就认为该请求是不合法的,叫violation,在学习页面查看 1,使用前面建立的RDP(...
F5-ASM-AdvWAF-动态parameter的防护(十一)
ITdoggg的博客
08-20 410
1,了解动态parameter的概念 动态paramaters还是name/value成双成对,但是value是跟随不同用户不同的值,比如用户名/银行卡号。 F5通过一个叫“extraction”动作去定义和发现服务器response内url或file type中的动态parameter,一旦发现动态parameter,F5会插入asm的专有cookie(frame cookie,具体啥意思a...
F5-ASM-AdvWAF-学习模式的一些分享(七)
ITdoggg的博客
08-19 1383
(一)、学习模式选择 1,学习模式建议使用手动,总的来说就是机器是死的,他只能根据既定的规则运行。只有人才知道什么是正常请求,什么不是。 举个很简单例子,假如在开启学习模式时候,有黑客攻击,F5可能会把他认为是正常请求。 (二)、学习时间 1,截图 这个时间不是策略建立时间开始算的,是单个策略的时间,每个策略的时间都是单独计算的。 当天的晚上的23:59:59-到七天后的23...
F5-ASM-AdvWAF实验-一些基础知识(二)
cengshi2474的博客
08-14 702
1,F5-ASM http业务流说明图 2,假如F5关联了基于host做分发的irule,那么要启用LTP(Local Traffic Policy)注意:LTP配置策略的时候host、url是平级的,就是不能先做host,然后再根据uri做精细化的分发(当然asm策略根据host就好了) 3,http 协议说明,推荐教程《tcp/ip详解1、2、3》get和post差别 4,常见http met...
F5全面应对DDOS 攻击
iteye_5347的博客
04-20 2429
 modeilq [角落] [飞语] 发表于:15-03-20 19:22 [只看该作者]   DDOS攻击俗称洪水攻击,是由很多DDOS攻击源一起攻击某台服务器的组成,DDOS 最早可追溯到1996年,在中国2002年开始频繁出现,到了2003年已经小有规模。是破坏力最强的攻击方式,据美国最新的安全损失调查报告,DDOS攻击所造成的经济损失已经跃居第一。DDOS攻击可破坏是...
F5服务器负载均衡基础配置指南
最新发布
weixin_35636570的博客
05-13 2438
负载均衡是一种技术解决方案,用于合理分配工作负载到多个计算资源,如服务器、服务或网络节点。其核心目的是提高应用性能、保障服务可用性和扩展系统的整体处理能力。F5 BIG-IP 是一款集成了多种网络功能的硬件平台,它针对企业数据中心和云环境中的应用交付进行了优化。该平台硬件基于高性能的多核处理器,并配合高速的网络接口和充足的内存资源,旨在提供高吞吐量和低延迟的数据处理能力。BIG-IP提供多种型号以满足不同规模的需求,从小型的独立设备到大型的集群系统,均可以高效地处理数据流量。
F5-ASM-AdvWAF-业务访问顺序的flow control(十三)
ITdoggg的博客
08-21 328
1,做业务登陆的强制访问顺序,就是要想访问xxx.com/b,必须先访问xxx.com/a 。 2,上demo,先要登陆到user_login.php,然后再登陆sell.php 先定义login url: 找到认证方式 找到登陆成功的response code 配置login enforcement,定义拿个页面必须要经过login页面才能访问 定义logo...
F5_ASM_Policy配置指南
09-02
F5 asm配置指南,F5内部文档。ASM应用防火墙,负载均衡。application 防护
虚拟专题:知识图谱 | 基于网络防御知识图谱的0day攻击路径预测方法
weixin_45585364的博客
04-18 2271
来源:网络与信息安全学报基于网络防御知识图谱的0day攻击路径预测方法孙澄,胡浩,杨英杰,张红旗信息工程大学摘要:针对 0day 漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的 0day 攻击路径预测方法。通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取“攻击”相关的概念及实体,构建网络防御知识图谱,将威胁、脆弱性、资产等离散的安全数据提炼...
F5 BIG-IP LTM 负载均衡器 功能介绍 上篇
changyanmanman的专栏
05-11 6105
F5 BIG-IP本地流量管理器(LTM)可将网络转变为灵捷的应用交付基础架构。它是用户和应用服务器之间的全代理,它创建了一个提取层,用于确保应用流量的安全,并对应用流量进行优化和负载均衡。这样,您便可以全面控制您的网络,不但可以轻松添加服务器、消除业务中断、提高应用性能,还可以满足安全要求。简单的说是一个负载均衡器负载均衡器是一种采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去,
F5-ASM-AdvWAF-parameter的补充说明(十二)
ITdoggg的博客
08-20 291
1,F5的parameter是有个优先级,和vs匹配顺序一样,先精细化然后再到广泛,而且只匹配高级的,一张图说明 2,补充个特殊情况,正常情况parameter都是name/value成对出现,但是有时候不是的,如下图 ,这种时候要单独到F5上定义 ...
针对知识图谱嵌入(KGE)的投毒攻击【论文阅读】
Ax的博客
03-18 1931
针对知识图谱嵌入(KGE)的投毒攻击【论文阅读】
以ATT&CK为例构建网络安全知识图
dexi1113的博客
06-25 1719
随着攻击工具、方法的逐渐升级和复杂化,安全数据的大规模融合,攻防对抗愈加激烈。安全团队如何在浩瀚数据中有效发现高级威胁的蛛丝马迹,如何把网络安全专家的经验、知识有效转化为可复制可扩展的数据分析能力,如何将对抗高级威胁的“炼金术”逐步升级为科学淘金指南,如何将安全从业者从繁重的体力劳动中解放出来,愈发成为安全能力亟需突破的难点和重点,也是我们正在探索的方向。正如医疗行业中治疗疑难杂症依赖医疗专家,网络空间高级威胁的防护和处置也依赖安全专家的经验与知识。
F5-ASM-AdvWAF-静态parameters的防护(十)
ITdoggg的博客
08-20 362
1,静态parameters: parameters格式是“nam=value”,静态的paramerers就是一个value,后面几个固定选项,比如购物时候选择付款方式,有微信,支付宝,银行卡等信息, 看hit-it-yourself的例子 这其实也是一个静态parameter 假如你有确定的parameter,可以在parameter那里直接添加白名单, so,还是用学习...
F5 BIG-IP ASM解决方案
weixin_33896069的博客
12-09 365
转载于:https://blog.51cto.com/f5555/1338534
移动端设备标识码:DeviceID、IMEI、IDFA、UDID和UUID的名词解释
热门推荐
查理王的博客
07-10 1万+
一.【先说结论】 UDID是移动端相对最靠谱的设备标识码,不论Android或iOS。 二.【名词释义】 Device ID:设备ID。 IMEI:International Mobile Equipment Identity,国际移动设备身份码的缩写。是由15位数字组成的“电子串号”,它与每台手机一一对应,每个IMEI在世界上都是唯一的。 IDFA:Identifier For Advertising,iOS独有的广告标识符。 UDID:Unique Device Identifier,唯一设
【ATT&CK】守株待兔式的水坑攻击
不忘初心,护天下安全!
02-02 1394
本博文引自https://github.com/Dm2333/ATTCK-PenTester-Book/ 声明:一切知识服务于国家信息安全建设,如果你是一个攻击者,好走不送!否则后果请自行承担! 一、守株待兔 本文所述守株待兔式攻击,即时在入口点埋设陷阱,等着受害者入坑,此类攻击即常说的Initial Access中的“水坑攻击”。 常见的水坑攻击可利用如下漏洞进行的: 存储型X...
ASM(Active Shape Model)主动形状模型通俗易懂讲解一:理论
rongrongyaofeiqi的博客
12-22 1万+
这篇文章首先简要的回顾一下理论知识,结合自己的理解说了很多大白话解释原理。其实也就是具体实现中应该怎么操作的步骤。下一篇结合代码讲解。由于公式图片多,多以直接转换成了图片,方便上传。 具体的可参考之前的博文:http://blog.csdn.net/rongrongyaofeiqi/article/details/53409677
F5-ASM-AdvWAF-防cookie篡改(八)
ITdoggg的博客
08-19 911
1,防篡改asm处理流程 F5在response会插入一个TS_开头,紧跟6位十六进制数值。F5有个专有名称叫main cookie。还有frame cookie,featrue cookie,具体啥意思搜ask f5. 2,上demo演示 用匿名窗口访问/index.php 打开fiddler,并做如下操作 然后在php点sell an item 修改header...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值