搜索结果
查询Tags标签: waf,共有 38条记录-
sqlmap之绕过waf思路
1.设置请求头--user-agent="Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"2.设置代理--proxy=http://127.0.0.1:80803.设置延迟--delay=14.利用--tamper参数中的编码脚本 常见编码搭配方式普通tamper搭配方式:tamper=apostrophemask,…
2021/10/25 19:12:57 人评论 次浏览 -
Nginx使用Lua模块实现WAF
前言:最近一段时间在写加密数据功能,对安全相关知识还是缺少积累,无意间接触到了WAF相关知识,刚好Nginx可以实现WAF功能,也简单学习了Lua这门语言,分享下 一、WAF产生的背景 过去企业通常会采用防火墙,作为安全保障的第一道防线;当时的防火墙只是在第三层(网络层)…
2021/9/4 7:05:55 人评论 次浏览 -
Nginx使用Lua模块实现WAF
前言:最近一段时间在写加密数据功能,对安全相关知识还是缺少积累,无意间接触到了WAF相关知识,刚好Nginx可以实现WAF功能,也简单学习了Lua这门语言,分享下 一、WAF产生的背景 过去企业通常会采用防火墙,作为安全保障的第一道防线;当时的防火墙只是在第三层(网络层)…
2021/9/4 7:05:55 人评论 次浏览 -
小迪安全--xss跨站脚本攻击
xss跨站脚本攻击 xss原理危害pikachu靶场反射型xss存储型xssDOM型xss xss平台cookie和session利用cookiewebshell箱子xss常见位置httponly绕过作用绕过方法 靶场htmlspecialchars() 绕过使用onclick执行xssonclick过滤referer 绕过waf绕waf工具 修复方案xss原理 XSS全称是…
2021/8/24 23:39:02 人评论 次浏览 -
小迪安全--xss跨站脚本攻击
xss跨站脚本攻击 xss原理危害pikachu靶场反射型xss存储型xssDOM型xss xss平台cookie和session利用cookiewebshell箱子xss常见位置httponly绕过作用绕过方法 靶场htmlspecialchars() 绕过使用onclick执行xssonclick过滤referer 绕过waf绕waf工具 修复方案xss原理 XSS全称是…
2021/8/24 23:39:02 人评论 次浏览 -
WAF绕过-目录扫描-python-exp
0x00 简介 通常在实战中,当我们需要扫描对方子域名目录等的时候,常常被waf产品拦截,导致扫描结果不可用,出现很大的误报,这时候需要采取waf绕过扫描, 下面介绍aliyun-os,safedog,BT(宝塔)的目录绕过思路 0x01 扫描绕过waf思路绕过分析: 1.抓包分析数据结构 2.熟…
2021/8/24 22:06:16 人评论 次浏览 -
WAF绕过-目录扫描-python-exp
0x00 简介 通常在实战中,当我们需要扫描对方子域名目录等的时候,常常被waf产品拦截,导致扫描结果不可用,出现很大的误报,这时候需要采取waf绕过扫描, 下面介绍aliyun-os,safedog,BT(宝塔)的目录绕过思路 0x01 扫描绕过waf思路绕过分析: 1.抓包分析数据结构 2.熟…
2021/8/24 22:06:16 人评论 次浏览 -
文件上传之WAF绕过及相安全防护
文件上传在数据包中可修改的地方Content-Disposition:一般可更改name:表单参数值,不能更改filename:文件名,可以更改Content-Type:文件 MIME,视情况更改常见绕过WAF的方法数据溢出-防止WAF匹配(xxx...) 符号变异-防止WAF匹配( " ;) 数据截断-防止WAF匹配(%0…
2021/8/12 6:07:43 人评论 次浏览 -
文件上传之WAF绕过及相安全防护
文件上传在数据包中可修改的地方Content-Disposition:一般可更改name:表单参数值,不能更改filename:文件名,可以更改Content-Type:文件 MIME,视情况更改常见绕过WAF的方法数据溢出-防止WAF匹配(xxx...) 符号变异-防止WAF匹配( " ;) 数据截断-防止WAF匹配(%0…
2021/8/12 6:07:43 人评论 次浏览 -
SQL注入——初识WAF
待整理更新 什么是WAF Web应用防护墙(Web Application Firewall,简称WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。 同…
2021/7/31 2:06:15 人评论 次浏览 -
SQL注入——初识WAF
待整理更新 什么是WAF Web应用防护墙(Web Application Firewall,简称WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。 同…
2021/7/31 2:06:15 人评论 次浏览 -
Waf编译-基础
Waf编译基础 Waf介绍 随着项目代码工程化时,整体的复杂度是越来越复杂,构建项目所用的编译过程也越来越复杂。库与库之间是有十分复杂的依赖关系,人工去进行维护是十分困难的。这个时候就需要类似Make或者Waf工具来进行维护。Waf编译工具相对于Make编译工具更加轻量化。…
2021/7/26 23:36:43 人评论 次浏览 -
Waf编译-基础
Waf编译基础 Waf介绍 随着项目代码工程化时,整体的复杂度是越来越复杂,构建项目所用的编译过程也越来越复杂。库与库之间是有十分复杂的依赖关系,人工去进行维护是十分困难的。这个时候就需要类似Make或者Waf工具来进行维护。Waf编译工具相对于Make编译工具更加轻量化。…
2021/7/26 23:36:43 人评论 次浏览 -
信息收集之网站架构信息
网站架构信息 网站架构信息(指纹识别)1. 操作系统TTL值模糊判断nmap扫描 2. 中间件3. 数据库4. 脚本语言5. cmscms识别工具cms漏洞查询实例:cms--WordPress的识别 6. OA系统7. waf 收集方法1. HTTP响应收集Server信息网站架构信息(指纹识别) 框架:fastjson,shiro,Spri…
2021/7/21 23:35:48 人评论 次浏览 -
信息收集之网站架构信息
网站架构信息 网站架构信息(指纹识别)1. 操作系统TTL值模糊判断nmap扫描 2. 中间件3. 数据库4. 脚本语言5. cmscms识别工具cms漏洞查询实例:cms--WordPress的识别 6. OA系统7. waf 收集方法1. HTTP响应收集Server信息网站架构信息(指纹识别) 框架:fastjson,shiro,Spri…
2021/7/21 23:35:48 人评论 次浏览
