利用搜索引擎蜘蛛绕过waf进行攻击

最新推荐文章于 2023-01-14 18:00:00 发布
最新推荐文章于 2023-01-14 18:00:00 发布
阅读量480 收藏 1
点赞数
分类专栏: 安全开发 web安全 实战篇 文章标签: 蜘蛛网 waf 绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kclax/article/details/91500251
版权
本文探讨了合法搜索引擎蜘蛛如何可能被恶意利用进行攻击,通过伪装成搜索引擎爬虫,攻击者可以绕过WAF,利用SQL注入等漏洞对网站造成损害。案例中提到Google蜘蛛在爬取网页时发起了SQLi攻击,引发对机器人行为和网站防护策略的反思。
摘要由CSDN通过智能技术生成

在这里插入图片描述
我们在写网站防火墙规则的时候可能都会做一件事:永远不屏蔽那些主流搜索引擎机器人的爬取(如,Google,Bing,Yahoo,Baidu等).

至今,我们觉得这样很好,但是现在我们时不时地碰到一些奇怪的现象,不得不让我们思考一个问题,如果一个合法的搜索引擎机器人被用来攻击网站那会怎样?难道我们仍然让这样的攻击畅通无阻而不去屏蔽他?
这种情况几天前确实在我们的一个网站上发生了,我们要开始屏蔽Google的ip地址,因为谷歌蜘蛛爬网站时发送的请求确实存在SQLi攻击.你没看错,谷歌蜘蛛确实正在攻击网站.

发送的请求

一切起源于我们发现一个真实的Google ip地址由于SQL注入被屏蔽了.这是日志记录的(为了保护无辜的受害者做了一点点改动)

66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%
20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

我们一开始以为它是一个假的Google bot,但是审查ip后发现这个ip真的是Google的:

最低0.47元/天 解锁文章
Coisini、
关注
专栏目录
HTTP绕WAF之浅尝辄止
小王的储物间
02-03 649
最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF挑战赛回忆录》,就啪啪打脸了。说来惭愧,最近一段时间,拿到offer就开始飘起来了,现在悔不当初,于是就想写一篇关于这篇Http首部字段文章的"训诂篇"出来,一来当做知识巩固,二来算是完善些和首部字段相关的知识点(可会因为见识不足,导致遗漏)。毕竟,小白可能这方面了解不多,只了解Cookie和Agent这种常见类型的首部字段,却很少听过Accept-
利用搜索引擎帮我们做攻击(成佩涛 黑客)
05-02 3553
使用Google等搜索引擎对某些特定的网络主机漏洞(通常是服务器上的脚本漏洞)进行搜索,以达到快速找到漏洞主机或特定主机的漏洞的目的。Google毫无疑问是当 今世界上最强大的搜索引擎。然而,在黑客手中,它也是一个秘密武器,它能搜索到一些你意想不到的信息。赛迪编者把 他们进行了简单的总结不是希望您利用他去攻击别人的网站,而是利用这些技巧去在浩如烟海的网络信息中,来个大海捞针,寻找到对您有用的信
网络安全中什么是WAF绕过?它又是如何被绕过的?
oldboyedu1的博客
12-23 551
首先,WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。与传统的Firewall (防火墙) 不同,WAF针对的是应用层,它是Web应用防火墙,全称为Web Application Firewall,通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品。WAF又是如何被绕过的呢?
假百度蜘蛛对网站SEO有哪些危害?网站如何做相对于的防御?
sexrenge的博客
07-22 316
前言: 什么是假百度蜘蛛?如何判断真假蜘蛛? 假百度蜘蛛,顾名思义,就是模仿真蜘蛛的轨迹来访问你的网站,从而达到目的,因为平常的IP,访问太过频繁,网站肯定会给屏蔽掉,但是以百度蜘蛛的名义进来,我们就不会屏蔽了,而且还很欢迎。希望多抓取我们的内容。如何分辨假百度蜘蛛那?其实最简单的方法就是通过ip130查询一下,如果没有百度蜘蛛标识,蜘蛛日志是以百度蜘蛛为结尾,那么就肯定是假蜘蛛了。 正文: 假百度蜘蛛来我们网站目的有哪些? 1,盗取内容(采集) 40%的假蜘蛛都是来抓取你的网站内容的,也就是采集,一些大型
【翻译】用端口敲门绕过防火墙规则并保证安全完整性
Purpleendurer@CSDN
08-02 4398
Use port knocking to bypass firewall rules and keep security intact用端口敲门绕过防火墙规则并保证安全完整性by Jonathan Yarden作者:Jonathan Yarden翻译:endurerKeywords: Security | VPNs | Firewalls | Security applications/tools
SQL注入
SK1ng的博客
09-12 3050
SQL注入 产生原理 参数的传递 数据的接收 数据的交互 数据库的执行 这四个步骤处理不当时,会产生注入点 通过参数传递一个数据,传入的数据直接拼接到之前定义好的SQL语句中,由于未作过滤,可以将一些传递恶意SQL进行拼接,达到执行恶意SQL语句的效果 产生条件 可控变量 可控变量带入数据库查询 变量无过滤或过滤不严谨 危害 可以对数据库进行增、删、改、查等操作 一定条件情况下可以通过注入点直接获取权限 数据库类型 MySQL 注入点 ?example and 1=1 页面正常 ?example
网络安全专业名词解释
aixmmmlll的博客
05-16 3915
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击进行交互
Resume Web PenTest by Joas.pdf
最新发布
10-06
17. **robots.txt检查**:分析robots.txt文件,以了解哪些部分可能被搜索引擎抓取,从而揭示不应公开的信息。 18. **CMS扫描**:检测内容管理系统(CMS)的版本和漏洞,例如WordPress、Joomla或Drupal。 19. **...
WAF详解及WAF绕过
赤赤三的博客
03-20 9075
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
黑掉php网站,小心您的网站被这样黑掉了!百度、谷歌搜索引擎bot恶意跳转站
weixin_42638139的博客
03-10 528
function GetBot()'查询蜘蛛dim s_agentGetBot=""s_agent=Request.ServerVariables("HTTP_USER_AGENT") '关键判断语句if instr(1,s_agent,"googlebot",1) >0 thenGetBot="google"end ifif instr(1,s_agent,"msnbot",1) >...
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3827
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
防火墙对大量模拟蜘蛛发起CC攻击消耗网站流量的解决思路
惠惠软件
07-18 422
专业版的linux防火墙已经对大量模拟的百度蜘蛛发起的CC攻击,最开始网站都打不开,用上专业版防火墙好多了,能打开网站。解决思路:开启增强模式+非浏览器访问拦截。如果是假的蜘蛛,防火墙是会自动识别到然后拉黑的。......
WAF绕过思路
永远是少年
03-12 3634
WAF绕过思路 WAF在渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
Web应用防火墙 (WAF) 挡不住的攻击类型
SSL加密技术
06-30 3988
一、网站应用防火墙介绍 网站应用防火墙系统就是我们通常称的WAFWAF的主要功能包括:对访问请求进行控制,可以主动识别、阻断攻击流量,通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 二、应用防火墙“无力抵挡”的攻击类型 WAF在减缓黑客攻击方面起了一定作用,但同时WAF也存在较大的局限性,文章将从以下三个方面进行说明: 首先,WAF
Waf功能、分类与绕过
Spontaneous_0的博客
01-14 575
Waf功能、分类与绕过
防止蜘蛛攻击机器人
xwygn的专栏
11-03 1542
一些工具可以测试注入式攻击! 那么我们为了防止这样的 我们判断不依赖于前台元素的值 因为前台值是可以伪造的 w我们必须一句后天和数据库的真实数据!
浅谈WAF绕过技巧
四盘山博客
08-29 1113
浅谈WAF绕过技巧 作者: Se7en 分类: web安全,信息安全 发布时间: 2017-06-11 22:18 waf分类掌握绕过各类WAF可以说是渗透测试人员的一项基本技能,本文将WAF分为云WAF、硬件WAF、软件WAF、代码级WAF,分别从各自的特性来谈一些相关的绕过技巧,更侧重于针对基于规则类的WAF绕过技巧。云wafEg:加速乐目前CDN服务的功能是越来越多,安全性也越加强悍,用
绕过WAF:ASP与PHP参数复用漏洞与异常Method利用
本文档主要讨论了如何利用这种技巧来绕过WAF的检测,以便进行恶意操作或数据泄露。 首先,关于复参数绕过,它是通过在URL中使用多个相同的参数名来实现的。例如,在ASP中,通常会使用"&id=1"这样的形式,而在绕过时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值