WAF绕过方法与测试框架研究

摘要	第4-5页
ABSTRACT	第5页
1 绪论	第8-16页
1.1 研究背景与研究意义	第8-9页
1.2 国内外相关领域研究现状	第9-13页
1.3 本文研究目标与研究内容	第13-14页
1.3.1 研究目标	第13-14页
1.3.2 研究内容	第14页
1.4 论文组织结构	第14-16页
2 Web应用安全相关的基础知识	第16-27页
2.1 服务器类型	第16-17页
2.1.1 Apache服务器	第16页
2.1.2 Nginx服务器	第16页
2.1.3 Microsoft ⅡS服务器	第16-17页
2.1.4 Tomcat服务器	第17页
2.2 操作系统类型及其识别	第17页
2.3 HTTP协议	第17-21页
2.3.1 HTTP URL结构	第18-19页
2.3.2 HTTP请求	第19-21页
2.3.3 HTTP响应	第21页
2.4 常见字符编码类型	第21-23页
2.4.1 ASCⅡ编码	第22页
2.4.2 URL编码	第22页
2.4.3 UNICODE编码	第22-23页
2.4.4 GBK编码	第23页
2.4.5 BASE64编码	第23页
2.5 常见数据库管理系统及其识别	第23-25页
2.5.1 MySQL	第24页
2.5.2 Oracle	第24页
2.5.3 Microsoft SQL Server	第24-25页
2.5.4 Microsoft Office Access	第25页
2.5.5 数据库系统的识别	第25页
2.6 本章小结	第25-27页
3 Web应用系统常见攻击方式	第27-37页
3.1 SQL注入	第27-30页
3.2 跨站点脚本攻击	第30-32页
3.3 拒绝服务攻击	第32-33页
3.4 暴力攻击(Brute Force)	第33页
3.5 目录遍历(Directory Traversal)	第33-35页
3.6 命令执行(Command Execution)	第35-36页
3.7 本章小结	第36-37页
4 Web应用防火墙原理及相关绕过技术	第37-62页
4.1 Web应用防火墙的基本原理	第38页
4.2 Web应用防火墙的工作流程	第38页
4.3 Web应用防火墙常用的绕过技术	第38-61页
4.3.1 Web服务器层绕过	第39-40页
4.3.2 Web应用程序层绕过	第40-41页
4.3.3 HPP方式	第41-42页
4.3.4 HPF方式	第42页
4.3.5 数据库层绕过	第42-55页
4.3.6 缓冲区溢出绕过	第55页
4.3.7 Web应用防火墙层次的绕过	第55-56页
4.3.8 XSS绕过技术	第56-59页
4.3.9 文件上传绕过技术	第59-61页
4.4 本章小结	第61-62页
5 We应用防火墙绕过测试框架	第62-71页
5.1 系统的总体架构	第62-63页
5.2 信息收集与目标识别	第63-66页
5.2.1 服务器端信息收集	第63-64页
5.2.2 WAF信息收集与类型识别	第64-66页
5.2.3 WAF过滤规则集探测	第66页
5.3 绕过测试	第66-69页
5.4 本章小结	第69-71页
6 实验和结果分析	第71-91页
6.1 实验环境搭建	第71页
6.2 实验测试方案与方法	第71-72页
6.3 实验结果分析	第72-90页
6.3.1 D盾实验与分析	第72-78页
6.3.2 云锁实验与分析	第78-83页
6.3.3 阿里云盾实验与分析	第83-85页
6.3.4 百度云加速实验与分析	第85-88页
6.3.5 安全狗实验与分析	第88-90页
6.4 本章小结	第90-91页
7 总结和展望	第91-92页
参考文献	第92-96页
致谢	第96-97页