首页 > 其他分享 >宝塔面板与长亭雷池waf组合

宝塔面板与长亭雷池waf组合

时间:2023-07-22 11:23:59浏览次数:29  
标签:baidu 雷池 443 waf 端口 nginx 长亭 com

 一、宝塔面板这边的修改
1.1更改nginx目录下的全部conf文件中80端口,改为其他,假设改为801,具体conf路径看网站设置,配置文件的最后一行。
(参考https://www.bt.cn/bbs/thread-107318-1-1.html)
1.2、更改网站的nginx配置文件,比如将443改为4434端口。
1.3、重启nginx。

Service nginx restart

 1.4、查看端口占用
Lsof -i:80
Lsof -i:443

二、长亭雷池waf安装
2.1、我选择的是最简单的一行命令,安装waf。

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

 来自 <https://waf-ce.chaitin.cn/posts/guide_install>
2.2、安装完成后,需要修改防火墙端口,放行waf。
2.3、打开waf网页后,使用waf或2fa的app工具,扫描二维码绑定账户,使用app的数字输入到页面方框内,即可登录。(也可以使用阿里云app的waf功能)
2.4、添加防护站点(443端口),第一行域名,比如baidu.com   第二行填443,勾选ssl。第三,上传域名的ssl证书,第四,我这里选择的是输入http://baidu.com,或者写http://你的服务器ip
2.5、添加防护站点(80端口),第一行域名,比如baidu.com   第二行填80,不勾选ssl。第三,我这里选择的是输入http://baidu.com:801
2.6、至此,waf配置完成。
三、typecho网站无法加载http路径的css文件
解决:
步骤1【管理后台->设置->基本->站点地址(改为https访问地址)】,
步骤2【在你网站项目根目录下,打开 config.inc.php,加入以下代码define('__TYPECHO_SECURE__',true);】    否则,网站后台还是会调用HTTP资源。
说明:执行步骤2不执行步骤1,也能正常打开网页。不解决此问题,typecho后台是无法登录的。

来自 <https://codeleading.com/article/78325093229/>
四、不能开启宝塔面板的强制https。
五、存疑:
1、关于端口,个人理解,数据流程:用户访问>baidu.com:443>baidu.com:80>baidu.com:801
2、第2.4条,第四,如果填写http://baidu.com:4434 ,站点网页会无法打开,也就可能,站点nginx的4434端口没有被用来传输网站数据。

 

标签:baidu,雷池,443,waf,端口,nginx,长亭,com
From: https://www.cnblogs.com/POTUS/p/17573035.html

相关文章

  • Nginx+Lua实现自定义WAF(一)
    安装环境:centOS71810 Step1:安装编译所依赖的软件pcre-devel:扩展的正则表达式引擎,为了使Nginx处理更复杂的正则表达式机制openssl-devel:–with-http_ssl_module使用该模块必需装openssl库,来实现http支持https协议zlib-devel:zlib库是网络通信压缩库,ngx_http_gzip_module(gzip......
  • WEB漏洞—文件上传之WAF绕过及安全修复
    上传参数名解析:明确有哪些东西能修改?Content-Disposition:  一般可更改name:  表单参数值,不能更改,如果要更改,确保对方表单值也要更改filename:  文件名,可以更改Content-Type:  文件MIME,视情况更改常见的绕过方法(这里所学的绕过方法大多数已经被安全狗修复,所以只能......
  • 长亭waf-ce 版本试用
    最近长亭提供了ce版本的waf,部分开源了(部分管理UI,t1k部分,部分语义分析自动机引擎)运行离线下载docker镜像以下地址http://demo.waf-ce.chaitin.cn/image.tar.gz加载镜像catimage.tar.gz|gzip-d|dockerloaddocker-compose文件 networks:safeli......
  • WEB安全-渗透测试-waf绕过信息收集
    waf绕过WAF拦截会出现在安全测试的各个层面,掌握各个层面的分析和绕过技术最为关键本文主要讲述以下四种环境下的waf绕过Safedog-默认拦截机制分析绕过-未开CCSafedog-默认拦截机制分析绕过-开启CCAliyun_os-默认拦截机制分析绕过-简要界面BT(防火墙插件)-默认拦截机制分......
  • SQL注入三连实战绕过WTS-WAF
    一键三连,sql注入一次无意之间发现的sql注入,主要是因为有一个WTS-WAF,在此记录一下只是友好测试,并非有意为之。。。。牛刀小试1手注判断字段数测试到orderby15的时候出现了报错,那么就可以说明字段数为14http://www.xxx.com/xxx.php?id=22%20order%20by%2014http://www.x......
  • WEB漏洞—SQL注入之堆叠及WAF绕过注入
    1、堆叠查询注入stackedinjections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。在sql语句中以; 结束语句mysql>select*fromusers;+----+----------+------------+|id|username|password|+----+----------+------------+|1|Dumb......
  • python目录扫描工具——dirsearch使用,可以使用御剑的字典 支持慢速扫描,一般使用-s 60
    使用御剑的字典:pythondirsearch.py-uxxx.com-e*-w/media/dir_dict/ASP.txt,/media/dir_dict/ASPX.txt,/media/dir_dict/DIR.txt,/media/dir_dict/JSP.txt,/media/dir_dict/MDB.txt,/media/dir_dict/PHP.txt 非常好用!!!如下是御剑的字典文件。 进入dirsearch目录,进行扫描在这......
  • SQL注入绕过——主要是magic_quotes_gpc, is_int(只能跑路,无注入点),以及关键字绕过,WAF绕
       SQL注入点是可以在get、post、cookie、request、http头里等 ......
  • sqlmap的使用 ----常用tamper模块,TODO,绕过WAF的测试
    sqlmap的使用----自带绕过脚本tamperwkend2018-09-1520:23:39sqlmap在默认的的情况下除了使用char()函数防止出现单引号,没有对注入的数据进行修改,还可以使用–tamper参数对数据做修改来绕过waf等设备。0x01命令如下sqlmap-u[url]--tamper[模块名]sqlmap的绕过脚本在目录u......
  • 绕过WAF的扫描——模拟爬虫
    爬虫白名单,在扫描的时候特别有用,伪造成爬虫,绕过检测。自己写示例代码(有工具直接支持吗???): 我自己写的一个示例:#coding:utf-8importrequestsheaders={#'User-Agent':"Mozilla/5.0(compatible;Baiduspider-render/2.0;+http://www.baidu.com/search/spider.html)"'User......