最简单的WAF绕过方式

最新推荐文章于 2024-10-11 21:44:11 发布
最新推荐文章于 2024-10-11 21:44:11 发布
阅读量509 收藏 1
点赞数
分类专栏: 小课堂 文章标签: 渗透测试 网络安全 WAF绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/119908438
版权

有些失望是不可避免的,因为你高估了自己

----  网易云热评

一、修改提交方式绕过

1、通过GET请求,发现and 1=1被拦截

2、换成POST请求,可以正常访问

二、通过特殊符号拆分

1、查看数据库名称,database()被拦截

2、经测试,database不拦截,()也不拦截,所以我们用/**/拆分,获取数据库名称

禁止非法,后果自负

欢迎关注公众号:web安全工具库

欢迎关注视频号:之乎者也吧

web安全工具库
关注
专栏目录
网络安全各类WAF绕过技巧
zxcvbnmasdflzl的博客
05-24 3012
即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。
渗透测试waf绕过基础
qi_SJQ_的博客
01-28 3901
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
bypass-403:一个简单的脚本,仅供旁路403使用
04-13
旁通403 一个简单的脚本,仅供旁路403使用 它也可以用来比较各种条件下的响应,如下图所示 用法 ./bypass-403.sh https://example.com admin ./bypass-403.sh website-here path-here 特征 在卷曲的帮助下使用13个已知的403绕过 安装 git clone https://github.com/iamj0ker/bypass-403 cd bypass-403 chmod +x bypass-403.sh sudo apt install figlet如果您无法看到屏幕截图中的徽标 贡献者
WAF绕过思路
永远是少年
03-12 3676
WAF绕过思路 WAF渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
Web打点与WAF绕过技术详解
最新发布
xixixi7777的博客
10-11 848
Web打点(Web Exploitation)是指通过对Web应用的漏洞进行利用,从而获取未授权的信息、执行未授权的操作或控制整个应用。常见的Web打点技术包括SQL注入、跨站脚本攻击(XSS)、文件包含漏洞、命令注入等。
渗透测试学习工具
北观止的博客
10-27 3538
漏洞练习平台 WebGoat漏洞练习平台: https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台: https://github.com/710leo/ZVulDrill vulapps漏洞练习平台: https://github.com/Medicean/VulApps dvwa漏洞练习平台: https://g
WAF绕过小技巧
tomyyyyy
09-22 6964
一、WAF绕过 1、脏数据绕过 即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 2、高并发绕过 对请求进行并发,攻击请求会被负载均衡调度到不同节点,导致某些请求绕过waf的拦截 3、http参数污染...
常见的WAF绕过方法
热门推荐
武天旭的博客
02-11 1万+
本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法 一、网络架构层 一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。 具体方法如下: 1、查找相关的二级域名及同一域名注册者的其他域名解析记录。 2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如: windows可以执行命令: nslookup -qt=mx baidu.com Linux可以执行如下命令来查看baidu.com域名的MX解析...
浅谈绕过WAF的数种方法
weixin_34206899的博客
12-05 521
0×00 前言 08年初诞生了一种SQL群注***,***在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入,***通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改,可以在网站上无差别的进行网页******。 互联网是快速更新迭代的,但是很多没有开发能力的单位都是通过外包建立网站,网站的程序一上...
WAF绕过方法从简单到高级
weixin_33711647的博客
05-10 271
WAF介绍什么是WAF?Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。基本/简单绕过方法:1、注释符http://www.site.com/index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3,4….2、使用大小写http://www.site.com/index.php...
SQL注入中的WAF绕过技术
08-03
大写绕过是最常见的一种绕过技术。当 WAF 检测到关键字时,我们可以使用大小写来绕过。例如,如果 WAF 检测到 union,那么我们可以使用 Union UnIoN 等来绕过。 2. 简单编码绕过 简单编码绕过是将关键字用十六进制...
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
深入了解SQL注入绕过waf和过滤机制
02-11
大小写混合是一种最简单绕过技术,用于针对小写或大写的关键字匹配技术。例如,使用大写字母和小写字母来绕过 WAF 的规则匹配。替换关键字也是一种常见的绕过技术,例如将 select 替换为 SeLSeselectleCTecT 等。 ...
渗透测试-WAF绕过通用思路
cdyunaq的博客
03-14 3041
概述:通用的方法,不仅限于 SQL 注入,就是万金油,无非就是大小写、双写、编码、注释、垃圾字符、分块传输、HPP、WAF 特性等 核心:所有能改的地方,都捣鼓捣鼓改改,增加就加,能删就删,多拿点其他内容来混淆视听。 大小写 unIoNSelect 双写 一些后端可能会直接给关键词过滤为空,那么就可以利用双写来绕过 ununionion==>去掉union==>union 编码 URL 编码 Unicode 编码 十六进制编码 ...
XSS绕过waf
m0_52813136的博客
07-28 1344
XSS绕过waf靶机
WAF绕过常见方法
m0_69801663的博客
12-21 1005
WAF绕过,变换大小写,编码绕过,利用注释符,重写,比较操作符替换,盲注的活用,二阶注入
WAF绕过
Z_l123的博客
02-19 2021
实验原理 WAF (Web Application Firewall)的中文名称叫做"Web应用防火墙",通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止SQL注入,跨站脚本(XSS)、文件包含和安全配置错误等漏洞引发的攻击。 作为攻击者来说,常见的绕过WAF方式包括大小写变换、编码、重写、巧用注释符、巧用盲注、同功能函数替换等。其中,重写适用于WAF只过滤一次敏感字的情况。比如 WAF过滤敏感字union,但只过滤一次,则可以写出类似ununionion这样的,过滤一次union后就会执行
WAF绕过技巧
Liu_Bruce的博客
08-19 540
WAF(Web Application Firewall)是一种安全系统,旨在监控和控制网络流量,以防止攻击,如SQL 注入、跨站脚本(XSS)和拒绝服务(DoS)。WAF 可以通过多种方式绕过
绕过WAF技巧:Python基础与Fuzz脚本实战
"该资源是漏洞银行大咖面对面技术讲座的一部分,由@13nR主讲,主题为‘1000种姿势’绕过WAF,旨在探讨如何利用编程技巧来规避Web应用防火墙(WAF)的检测。讲座内容涵盖了Python基础知识和使用Python的requests库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值