waf往a标签href中的url后添加随机字符以及ip后面加端口号

最新推荐文章于 2023-11-15 00:04:00 发布
最新推荐文章于 2023-11-15 00:04:00 发布
阅读量1.7k 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35652978/article/details/85705016
版权

问题描述:发现测试环境jsp中的a标签的href链接后,多了随机字符。ip后会多了端口号。开发环境、本地环境正常


排查过程:
1.打开浏览器控制台,查看到接口返回的jsp页面代码中已经携带了随机字符和端口号。由此判断问题出现在服务端。
2.在action中打印对应字段,无异常。
3.删除jsp中业务代码,仅剩余一个a标签,问题依旧。由此判断不是由于引入的jsp框架所影响
4.将测试环境的war包下载到本地,修改dubbo注册地址后启动(本地不能连接到测试环境注册中心),无异常。由此判断问题不是出现在web应用层面。
5.将测试环境的Tomcat也下载到本地,启动项目,无异常。自此,开始怀疑是转发过程出现问题。
6.运维开放Tomcat端口(配置的是8080,一般情况下禁用该端口),直接访问到Tomcat服务,不经过其他东西转发,无异常。因此,可以确定是转发过程出现问题。
7.经过查看端口占用情况(对外提供的端口是8090,查看8090端口占用),确定是通过了waf防火墙进行了端口转发。问题确定,是防火墙对内容进行了过滤以及往url后添加内容,但具体策略不了解。

肥仔湉
关注
专栏目录
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
pikachu靶场练习通关知识点总结
qq_45584159的博客
12-11 7881
pikachu靶场练习 文章目录pikachu靶场练习前言一.暴力破解1.1 基于表单的暴力破解1.2验证码绕过(on sever)1.3验证码绕过(on client)1.4tokon防爆破二、xssxss概述DOM:文档对象类型xss形成的原因:xss漏洞的测试流程:1.1反射型xss(get)1.2反射型xss(post)三.CSRF四.SQL注入五.RCE六.文件包含七.不安全的文件下载八.越权九.目录遍历十.敏感信息泄露十一,PHP反序列化十二.XXE十三.重定向十四.SSRF十五.管理工具
详解A标签href=””的几种用法
12-11
众所周知,a标签的最重要功能是实现超链接和锚点。而且,大多数人认为a标签最重要的作用是实现超链接,今天我刚好碰到a标签的一种写法<a></a>,所以就来整理下a标签href的几种用法。 一、js的几种调用方法(参考总结的)       1、a href="[removed]js_method();"        这是常用的方法,但是这种方法在传递this等参数的时候很容易出问题,而且[removed]协议作为a的href属性的时候不仅会导致不必要的触发[removed]事件,在IE里面更会使gif动画图片停止播放。W3
<a>标签的使用
gygygydgh的博客
12-24 178
** a标签的使用 <a href=""></a> href 需要跳转的网页地址 网站格式: 协议+://+域名(网址)+端口号(80/8080)+文件路径 a标签的属性: target _self 当前页面跳转 _blank 新标签页面打开 热更新: -编辑文件,保存,浏览器立刻刷新页面 锚点的使用: 1.对元素,命名一个锚点,进行标记 2.使用a标签href = “#...
利用JS将a标签链接到一个随机数字地址
岳泽以
04-01 1188
这两天在制作Weblog网站的时候,想添加一个点击链接随机跳转到一个认证页面,因为认证页面的后缀都是数字.html,所以其实很简单,这个功能也类似十年之约的虫洞,但是我觉得其用的不是这种方式。 JS部分 首先需要创建JS来随机获取一个数字,并合成链接地址: <script> //合成链接地址 function myFunction(e) { var number = randomNum(1, 100); e.href = "https://weblog.net.cn/au
给页面上所有的a标签随机数每次点击保证最新
weixin_30619101的博客
09-03 603
$(document).click(function(){ $("a").each(function(){ if($(this).parent().parent().hasClass('list-unstyled')){ var href=$(this).attr("href"); var ...
用js给超链接随机数,这样就可以使网页避免缓存了
sinat_39648402的博客
05-24 2498
function add_rand(){ rand = Math.random(); $('a').each(function(){ href = $(this).attr('href'); if (href.length == 0 || href.indexOf('javascript') > -1) return; els...
web安全防范
宅神的博客
06-28 4684
web安全 安全永远是产品的最基础需求 这里总结几种常见攻击与防范 一.XSS XSS,跨站脚本攻击,原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 1. 非持久性XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏...
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5748
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数固数据库方面固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
Web安全深度剖析-笔记
qq_30378851的博客
11-20 3422
Web安全深度剖析-笔记 文章目录Web安全深度剖析-笔记HTTP基础知识http请求方法http状态码http消息头(字段)截取HTTP请求搜索引擎劫持SQLmap注入注入基础知识使用DVWA来练习使用sqlmapSQLmap基本使用方法更多的选项简述利用过程其他常用的参数用法SQLmap能检测到的注入类型其他检测SQL注入的工具上传漏洞WEB解析漏洞简介IIS6.0解析漏洞APACHE漏洞PH...
访问静态资源html图片url有俩ip端口问题
a674164971的博客
06-26 2446
http:/172.16.1.90:8080/office/image/eldc1-xhb-a/0.jpg由于http:/不是规范url,服务器以为是相对路径会自动前缀,导致出现俩前缀,后台去除前缀使用相对路径,或完整url即可...
a标签链接标签
ZHY211985的博客
04-21 317
a标签的使用
Vue3使用vite配置前端服务IP端口、跨域代理、访问资源路径前缀
热门推荐
郭新宇的博客
06-30 8万+
Vue3配置代理跨域(使用vite.config.js文件配置vite.config.js 配置文件 vue3发布有一段时间了,其vite感觉很好用,现在配置跨域和服务端口等配置,可以不使用vue-cli的vue.config.js了,可以只使用vite.config.js进行配置。 vite.config.js 配置文件 import { defineConfig } from 'vite' import vue from '@vitejs/plugin-vue' const { resolve
Angular 外部链接跳转时链接自动上域名和端口号
yuyu的博客
12-14 635
Angular 框架添加外部链接跳转,框架会自动上域名和端口导致跳转失败
<a>标签跳外部链接
qq_26402341的博客
09-06 4513
在自己的web项目,比如在页面使用标签跳百度页面(如:),会自动带上当前服务器的ip端口号;这时需要上http://的协议才会达到想要的效果(如:)
获取当前页面的主机/端口号/路径
qq_30629571的博客
11-28 1556
属性 值 href 完整的 URL protocol 协议 hostname 主机名 host 主机名端口号 port 的端口号 pathname 当前 URL 的路径部分 search URL 的查询部分 hash #开始的锚 具体获取方法:window.location.hostname 等;
项目静态资源的路径处理
qq_36609994的博客
02-18 1252
1、绝对路径:不可改变的路径 本地绝对路径:增盘符的路径(e:/test/test.html) 网络绝对路径:增协议,IP地址,端口号的路径(http://localhost:8080/test/test.html) 2、相对路径 可以改变的路径,但是以基准路径为参考,查找其他路径,默认情况下,相对路径的基准路径是以当前资源的访问路径为基准。路径以斜杠开头,表示的特殊的相对路径,在不同的...
web处理静态资源时,相对路径问题
最新发布
m0_64708547的博客
11-15 205
(如link、script、a、img)只要写了路径,并在网络交互的环境(html页面是通过给服务器发送请求获取到的)那么,浏览器要拿到这些文件,也一定会给服务器发送请求。图(3)的地址有一个被覆盖,是因为代码写了相对路径./则默认覆盖一个,如果是../则覆盖两个。而在没有网络交互的情况下,相对路径,是相对当前文件(html文件)进行拼接,但是如果是在网络交互的情况下,相对的是打开这个文件的url地址。(1)将图4的代码的./删去改为/,这样就是相对根目录去寻找文件。
Nginx(2)静态资源部署
weixin_43994244的博客
06-28 5391
nginx静态资源配置指令,静态资源压缩配置以及静态资源的缓存处理和静态资源防盗链处理
WAF支持的字符识别:提升垃圾邮件图像过滤效率
此外,文章可能还会涉及深度学习、机器学习等现代技术在图像处理的应用,以及如何结合WAF的数据包分析和行为分析能力来增强字符的识别性能。此外,文章可能会讨论实验设置、数据集的选择、性能评估指标(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值