Live： WAF 是如何被绕过的

Live 简介

WAF (Web 应用防火墙，Web Application Firewall 的简称) 是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的产品。WAF 可以发现和拦截各类 Web 层面的攻击，记录攻击日志，实时预警提醒，在 Web 应用本身存在缺陷的情况下保障其安全。但是，WAF 不是万能的、完美的、无懈可击的，在种种原因下，它们也会有各自的缺陷，作为用户不可以盲目相信 WAF 而不注重自身的安全。

本次课程我们将以一些实际的 WAF 产品为例，了解它们的基本原理，它们存在的缺陷，以及攻击者是如何利用它们的缺陷让它们形同虚设的。我们应当更注重于注重自身系统和应用的安全，不能以为有了 WAF 就可以高枕无忧。

活动时间 2018/09/22 晚上 8 点

活动地点 线上：live.twosecurity.io

主办方 二向箔安全

活动详情 主讲人：李维 /VERKEY

从事网络安全行业十余年，PKAV 团队核心成员，擅长 Web 渗透测试，安全类产品研发。

现任职于成都无糖信息技术有限公司，担任研发总监。

PKAV Web Scanner、PKAV HTTP Fuzzer、破壳 Web 扫描器开发者 。

开讲时间：2018/09/22 晚上 8 点

Live 大纲

1. 主流 WAF 的绕过技术，分析 WAF 拦截方法和对应的缺陷以及为什么 WAF 会有这些缺陷。
2. 实例讲解 WAF 的 SQL 注入和文件上传拦截是怎么被绕过的，有哪些思路和方法。
3. 实例讲解一句话木马是如何逃避查杀的，以及如何绕过 WAF 文件层面和流量层面的拦截的。
4. 讨论和答疑。

报名方式：