HTTP绕WAF之浅尝辄止
0X00前言 最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF 挑战赛回忆录》,就啪啪打脸了。说来惭愧,最近一段时间,拿到offer就开始飘起来了,现在悔不当初,于是就想写一篇关于这篇Http首部字段文章的"训诂篇"出来,一...
标签关键词
关于 WAF 的文章共有6条
利用WAF进行拒绝服务攻击
利用WAF进行拒绝服务攻击 BaoGuo (CleverBao) 经评论指出,18年时已经有人发现过此类问题,因此去掉原创。 但是我测试发现的时候,是在视频网站自定义用户头像的地方,在视频下方评论,触发waf,最后延伸到dz这类论坛站点自定义文章图片。 一、拒绝服务攻击...
Pyhacker 之 网站Waf探测
00x1: 需要用到的模块如下: import requests 00x2: 首先我们要了解WAF,寻找WAF的特征 比如安全狗,当访问不存在的页面 寻找关键字:如safedog 00x3: ok,分析完毕,我们来测试一下 ...
绕过安全狗到getshell
今天一位好友跟我发信息,问我搞过织梦没,于是就有了下面这篇文章 项目?织梦站?真没听说过织梦的项目,而且还只有一个项目的站... 打开是学校网站,引起了我的怀疑,猜测是他学校的网站 和我最开始猜想的一样,每一位黑阔都想拿下自己的学校网站 ...
SQL 淫荡绕过WAF技巧
前言: 看到许多大牛WAF绕过技巧,小弟来补充一下 0x00 sql注入的原因 sql注入的原因,表面上说是因为 拼接字符串,构成sql语句,没有使用 sql语句预编译,绑定变量。 但是更深层次的原因是,将用户输入的字符串,当成了 “sql语句” 来执行。 比如...
WAF产品经理眼中比较理想的WAF
WAF简介 WAF(Web Application Firewall,简称:WAF),百度百科上的定义,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。作为绝大多数互联网公司Web防御体系最重要的一环,承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用,就像大厦的保安...
