asp 检查黑名单_黑名单验证的突破

最新推荐文章于 2021-04-27 14:59:53 发布
最新推荐文章于 2021-04-27 14:59:53 发布
阅读量104 收藏
点赞数
文章标签: asp 检查黑名单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39628256/article/details/111783473
版权

黑名单验证的突破

操作系统特性

windows下对大小写不敏感,php和Php对windows来说都是一样的。

windows下,上传的文件名中带有test.php::$DATA会在服务器生产一个test.php的文件并可以被解析。及 test.php = test.php::$DATA

windows下文件名结尾加入.,空格,,>>>等字符,会被windows自动取除。例如:黑名单中有.php 但如果是.php.可能就不在黑名单中存在。

语言特性

php       .php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|

jsp         .jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|

asp        .asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf|

中间件特性

代码不严谨

双写后缀绕过

AsaspP 服务器会删除asp ,从而保留Asp

单次过滤 ,.空格

1.php. .当检查到空格和点的时候,删除会保留一个点1.php.

weixin_39628256
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
较为周全的Asp.net提交验证方案
11-19
以前在学习Asp.net 时备受困扰的就是提交验证这块,网上流行的关于图片验证的教程大都存在很多问题,比如: 验证码存储在页面代码或Cookies 里,暴露给客户端; 通过Session 存储的验证码,虽然解决了安全问题,但...
文件上传之黑名单绕过
2301_79299101的博客
11-08 281
上传的文件后缀名在列表内禁止上传。6,. 利用 windows 环境的叠加特征绕过上传:在 windwos 中如果上传文件名 moonsec.php:.jpg 的时候,会在目录下生产空白的文件名 moonsec.php 再利用 php 和 windows 环境的叠加属性, 以下符号在正则匹配时相等 双引号" 等于 点号. 大于符号> 等于 问号?7, 在上传模块,有的代码会把黑名单的后缀名替换成空,例如a.php 会把php 替换成空,但是可以使用双写绕过例如 asaspp,pphphp,即可绕过上传。
文件上传漏洞asp、php、jsp、aspx如何绕过黑名单
niqiu320的博客
04-27 2838
文件上传漏洞asp、php、jsp、aspx如何绕过黑名单 脚本语言 绕过方式 asp .php/.php5/.php4/.php3/.php2/php1/.html/.htm/.phtml/.pHp/.pHp5/.pHp4/.pHp3/.pHp2/.pHp1/.Html/.Htm/.pHtml php .jsp/.jspa/.jspx/.jsw/.jsv/.jspf/.jtml/.jSp/.jSpx/.jSpa/.jSw/.jSv/.jSpf/.jHtml jsp .asp/.as
【文件上传绕过】三、黑名单不全绕过
ssrf
10-10 1511
文章目录一、描述二、实验原理三、检测代码四、添加黑名单中未做限制的后缀进行绕过 一、描述 Web系统可能会采用黑名单的方式进行过滤。而过滤的方式存在一定的缺陷,比如存在过滤的黑名单不全,未考虑大小写,以及对上传文件名单次进行敏感字符清除。 二、实验原理 当下流行的网站开发语言均存在多个可解析后缀,例如asp脚本语言的可解析后缀,不仅仅是.asp,还有.cer,.asa等等。而由于开发人员相关知识或安全意识的局限性(欠缺),导致设置的黑名单不全。这时就可以通过其他可解析后缀绕过黑名单上传可执行的websh
较为全面的Asp.net提交验证方案分析 (上)
01-02
验证码不会过期,这会留下隐患,使暴力破解变得可行(当然也可以通过刷新间隔、提交间隔、黑名单等手段加以控制); 此外还有伴随着提交产生的另一个问题——重复提交。 为解决上述问题,我曾走过不少弯路,后来总结...
整理asp漏洞与入侵方式.doc
01-15
0x53黑名单验证 5 0x54 shtml/shtm/stm文件爆源码 5 0x55其他方式 5 0x56 MIME 类型检查 6 0x57 一个偷懒用的JS提交代码 6 0x60留言板攻击与非法注册 6 0x61 留言板攻击 6 0x62非法注册 6 0x70未经授权访问的后台...
sdcms系统源码 1.0
03-25
3.修正了当上传的文件的后缀在默认黑名单中的时候会出现错误的问题 4.调整后台信息未按置顶排序的问题 5.修正了$show_list_id$标签错误 6.修正了后台系统设置处输入单个双引号会出错的问题 7.修正了删除评论而造成...
hsort地区分类信息网站
03-24
-过滤非法词语(过滤为*)20、系统基本设置管理增加了--垃圾信息黑名单(联系电话)21、分类信息生成html,提高搜索引擎录入率,减轻服务器负担,加快页面打开速度。22、优化美化了分类信息最终页面,并可以随意编辑23、...
asp 检查黑名单_c# asp.net ip黑名单
weixin_39579548的博客
12-21 323
短信验证码接口被恶意请求,写了一个简单的黑名单规则.使用静态数组的形式实现,优点为不占用数据库资源且速度更快效率更高. 缺点为数据无持久化,网站重启后黑名单就清空了.效果为: 如果指定时间内请求次数大于最大请求数并且发送的手机号码大于等于指定号码数量,则加入黑名单,时长为 {BlockTime}根据如下属性进行配置后,IsInBlackList方法为判断IP是否在黑名单内,返回boolRecord...
什么是mysql安装配置教程以及学习mysql安装配置教程的意义
05-21
mysql安装配置教程
【光伏预测】基于BP神经网络实现光伏发电功率预测附Matlab代码.zip
05-21
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
onlyoffice搭建及与alist使用的view.html
05-21
onlyoffice搭建及与alist使用的view.html
android-support-v7-recyclerview 添加错误
05-21
1.Project Structure中添加依赖时,容易添加不进去,所以使用本地添加,将android-support-v7-recyclerview放在对应项目的lib文件中,并add as library。如果在build.gradle中出现implementation files('libs\\android-support-v7-recyclerview.jar')就算是添加成功。 2.在布局文件中使用 androidx 的布局控件,在逻辑代码文件中导入androidx相关包。(取代android.support.v7) 3.在gradle.properties文件中,注释android.enableJetifier=true。(# android.enableJetifier=true) 最新way2:
3款正射影像DOM导入CASS插件(测试通过).rar
最新发布
05-21
3款正射影像DOM导入CASS插件(测试通过),带坐标导入,超实用!
什么是c语言以及学习了解c语言的意义是什么
05-21
c语言
基于java+MapReduce实现基于物品协同过滤算法,即电影推荐系统+源码+开发文档+算法解析(毕业设计&课程设计&项目开发
05-21
基于java+MapReduce实现基于物品协同过滤算法,即电影推荐系统+源码+开发文档+算法解析,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 项目简介: 互联网某电影点评网站,主要产品包括 电影介绍 电影排行 网友对电影打分 网友影评 影讯&购票 用户在看|想看|看过的电影 猜你喜欢(推荐) 利用用户对电影的打分表来给用户推荐电影,用户打分表包括以下字段 userID--用户ID号 itemID--电影ID号 score--评分 ###基于物品的协同过滤算法 建立物品的同现矩阵 建立用户对物品的评分矩阵 矩阵计算推荐结果 ###MapReduce实现 程序流程图 .........
node-v6.9.3-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
asp.net core 如何设置白名单访问api
06-03
要设置白名单访问API,可以使用ASP.NET Core中的中间件来实现。以下是设置白名单的步骤: 1. 创建一个中间件类,例如名为WhitelistMiddleware的类。 2. 在WhitelistMiddleware类中实现Invoke方法,检查请求IP地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值