WAF Bypass

最新推荐文章于 2024-07-23 10:05:49 发布
最新推荐文章于 2024-07-23 10:05:49 发布
阅读量437 收藏 10
点赞数 9
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79556885/article/details/137401866
版权

  • 利用<>标记

  • 利用html属性

    • href
    • lowsrc
    • bgsound
    • background
    • value
    • action
    • dynsrc

  • 关键字

    • 利用回车拆分

    • 字符串拼接

      • window["al" + "ert"]

  • 利用编码绕过

    • base64
    • jsfuck
    • String.fromCharCode
    • HTML
    • URL

    • hex

      • window["\x61\x6c\x65\x72\x74"]
    • unicode

    • utf7

      • +ADw-script+AD4-alert('XSS')+ADsAPA-/script+AD4-
    • utf16
  • 大小写混淆
  • 对标签属性值转码
  • 产生事件
  • css跨站解析

  • 长度限制bypass

    • eval(name)
    • eval(hash)
    • import
    • $.getScript
    • $.get

  • .

    • 使用  绕过IP/域名
    • document['cookie'] 绕过属性取值
  • 过滤引号用 `` ` `` 绕过
黑客V1
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WAF的正确bypass
10-20
**WAF的正确bypass** 是指在遇到Web应用程序防火墙(Web Application Firewall)时,通过巧妙的方法绕过其安全防护机制,实现有效测试或安全验证。WAFs设计用于保护网站免受SQL注入、跨站脚本攻击(XSS)、CSRF等...
WAF Bypass数据库特性(Access探索篇).pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
WAF Bypass及案例实战
来日可期的博客
09-23 1362
WAF(Web Application Firewall)的中⽂名称叫做“Web 应⽤防⽕墙”,利⽤国际上公认的一种说法,WAF 的定义是这样的:Web 应⽤防⽕墙是通过执⾏一系列针对HTTP| HTTPS 的安全策略来专⻔为Web 应⽤提供保护的一款产品。通过从上⾯对WAF 的定义中,我们可以很清晰的了解到,WAF 是一种⼯作在应⽤层的、通过特定的安全策略来专⻔为Web 应⽤提供安全防护的产品。
Waf Bypass
Grey的博客
08-03 813
                       
waf bypass
weixin_34319111的博客
08-07 121
1.前言去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常谈的话题也没什么可写的。很多人一遇到waf就发懵,不知如何是好,能搜到的各种姿势也是然并卵。但是积累姿势的过程也是迭代的,那么就有了此文,用来总结一些学习和培养突破waf的思想。可能总结的并不全,但目的并不是讲那些网上搜来一大把的东西,So…并不会告诉大家现有的姿势,而是突破Waf Bypass思维定势达到独立去挖掘wa...
Apache Log4j RCE Waf Bypass & Data Exfiltration Payloads
LiBai'S BLOG
12-15 6500
简介 CVE-2021-44228(又名 log4shell)是 Apache Log4j 库中的一个远程代码执行漏洞,该库是一种基于 Java 的日志记录工具,广泛用于世界各地的应用程序中。此漏洞允许可以控制日志消息的攻击者执行从攻击者控制的服务器加载的任意代码——我们预计大多数使用 Log4j 库的应用程序都将满足此条件。 Apache Log4j2 <=2.14.1 在配置、日志消息和参数中使用的 JNDI 功能不能防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,可
WAF bypass学习(MySQL注入)
BeatRex的博客
04-23 1030
一、绕过目录扫描的防护 修改user-agent为搜索引擎的爬虫 百度爬虫:Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html) 减缓扫描速度 通过代理ip进行扫描 二、手工注入绕过 大小写变种 如:对某些关键字如:select、union、order、where进行关键字的过滤...
WAF Bypass FUZZ小脚本
06-27 101
分享两个小脚本,用来WAF Bypass简单FUZZ的 第一个:先生成一个字典,带入搭建的环境进行FUZZ,针对某些软WAF挺好用的,可FUZZ出不少姿势出来,记得先把CC攻击加入白名单才行哦。。。 #! /usr/bin/env python # _*_ coding:utf-8 _*_ import urllib import urllib2 import requ...
我的WAF Bypass实战系列
06-10 1300
&#13;   ​ 梳理了一下自己写过的WAF Bypass相关的文章,按照编写时间顺序,整理成了一个WAF Bypass实战系列,如果你准备了解WAF攻防这一块的内容,可以来了解一下。&#13;  &#13; 第一篇:《BypassD盾IIS防火墙SQL注入防御(多姿势)》&#13; 原文地址:http://www.cnblogs.com/xiaozi/p/7357937....
SQL注入Bypass WAF
PolarPeak的博客
06-01 2806
Best WAF Bypass 1 : order by /**/ORDER/**/BY/**/ /*!order*/+/*!by*/ /*!ORDER BY*/ /*!50000ORDER BY*/ /*!50000ORDER*//**//*!50000BY*/ /*!12345ORDER*/+/*!BY*/ UNION select /*!00000Union*/ /*!00000Select*/ /*!50000%55nIoN*/ /*!5000...
mysql bypass_WAF Bypass数据库特性(Mysql探索篇)
weixin_39960319的博客
01-19 71
0x01 前言我们经常利用一些数据库特性来进行WAF绕过。在Mysql中,比如可以这样:内联注释: /*!12345union*/selectMysql黑魔法: select{x user}from{x mysql.user};换行符绕过:%23%0a、%2d%2d%0a一起去探索一下能够绕过WAF防护的数据库特性。0x02 测试常见有5个位置即: SELECT * FROM admin WH...
WAF Bypass数据库特性(Oracle探索篇).pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
WAF Bypass数据库特性(MSsql探索篇).pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
WAF Bypass数据库特性(Mysql探索篇).pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 515
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析
xt350488的博客
07-22 1756
xss基础教程参考:https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQsql注入waf绕过文章参考: https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw。
LIBSVM参数实例详解.rar
07-26
神经网络的matlab案例,本案例介绍如下: 技术深度:案例详细介绍了如何使用MATLAB进行深度学习模型的构建、训练和测试。 实际应用:通过具体的图像识别任务,展示模型的实际应用效果,让你直观感受神经网络的强大能力。 代码解析:提供完整的MATLAB代码,并对关键部分进行详细注释,帮助你理解每一步的工作原理。 优化策略:探讨不同的训练策略和参数调整方法,优化模型性能。
基于JAVA在线考试管理系统(源代码+论文+开题报告+外文翻译+英文文献+答辩PPT).rar
最新发布
07-26
基于JAVA在线考试管理系统(源代码+论文+开题报告+外文翻译+英文文献+答辩PPT).rar
NSS Labs WAF测试方法v6.2解析
"Nss labs waf TEST methodology 6.2" 描述了一种用于评估Web应用防火墙(WAF)性能和安全性的测试方法,由NSS Labs在2013年发布。此方法论涵盖了产品指导、安全效果、攻击类型、规避策略等多个方面。 在Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值