WAF原理及绕过(成功绕过某狗)

最新推荐文章于 2024-06-03 20:04:33 发布
最新推荐文章于 2024-06-03 20:04:33 发布
阅读量360 收藏 2
点赞数 1
文章标签: 云安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44174581/article/details/119054214
版权

绕过截图

测试网站sqli-labs/Less-11,hackbar被拦截,burp成功绕过报错
在这里插入图片描述

原理解析

参考链接:
https://blog.csdn.net/qq_36119192/article/details/90113167
https://www.freebuf.com/news/193659.html

WAF绕过大致可分为三类:1.白盒绕过
2.黑盒绕过
3.fuzz测试
1.白盒绕过
通过源代码分析,来进行绕过
2.黑盒绕过
(1)架构层面
a.寻找源网站绕过WAF:主要针对云WAF,找到真实地址进行绕过,类似CDN
在这里插入图片描述
b.通过同网段绕过:在同一个网段中的数据可能不经过WAF,从而实现绕过
在这里插入图片描述

(2)资源限制角度:一般WAF的执行需要优先考虑业务优先的原则,所以对于构造较大数据包可能不会进行检测,从而实现绕过
(3)协议层面
a.协议未覆盖绕过:由于业务需要,可能只对get型进行检测,post型选择忽略
b.参数污染:index/?id=1&id=2,WAF可能只对id=1进行检测
(4)规则层面
https://www.cnblogs.com/Vinson404/p/7253255.html
补充:
特殊符号:加某些符号不影响查询结果,但是却可以让WAF的匹配规则无法识别
在这里插入图片描述

蒙奇奇
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF writeup 1_网络安全实验室
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
46、47-绕过WAF(Web应用程序防火墙)--介绍、主要功能、部署模式、分类及注入绕过方式等
最新发布
XLbb的博客
06-03 1461
网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全;IP黑白名单功能允许用户设置个性化的IP信任列表,直接屏蔽或者允许指定IP访问网站。同时,增加iP临时黑名单功能,以及实现了针对某个功能的iP白名单功能。同时,爬虫白名单提供爬虫信任机制,在出现误拦截情况下,允许用户自定义爬虫信任。
CTFshow之36Dweb做题记录
bmth666的博客
08-08 2254
WEB_给你shell 打开题目首先F12,得到信息 那么?view_source=flag.txt得到了源码: <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset(...
wuyun知识库目录
Grey的博客
01-15 7485
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
命令执行漏洞利用及连接符的简单绕过
Thunderclap的博客
02-23 342
命令执行漏洞利用及连接符的简单绕过
那些年我们绕过WAF
05-07
标题中的“那些年我们绕过WAF”暗示了本文将探讨如何在面对Web应用程序防火墙(WAF)时,采用各种技巧和方法来规避其安全防护。WAF是一种专门用于保护Web应用程序免受常见攻击(如SQL注入、跨站脚本攻击等)的设备...
WAF是如何被绕过
06-21
以一些实际的WAF产品为例,了解它们的基本原理,它们存在的缺陷,以及攻击者是如何利用它们的缺陷让它们形同虚设的。我们应当更注重于注重自身系统和应用的安全,不能以为有了WAF就可以高枕无忧。
渗透测试必备神器SQLMAP的所有绕waf脚本合集
10-18
SQLMAP通过自动化的智能探测和多种技术,如盲注、时间延迟注入、错误注入等,来判断目标应用程序是否存在SQL注入漏洞,并且可以绕过WAF的检测。这些脚本是基于不同的数据库系统(如MySQL、PostgreSQL、Oracle等)的...
分块传输绕过WAF进行SQL注入1
08-03
在SQL注入攻击的场景中,分块传输编码可能被用来绕过Web应用防火墙(WAF)。由于WAF通常基于预定义的规则来检测和阻止恶意请求,它可能无法正确解析分块编码的请求体,从而忽略了其中可能存在的恶意SQL语句。攻击者...
深入了解SQL注入绕过waf和过滤机制
05-04
i) **整合绕过**:结合多种方法,提高绕过WAF成功率。 0x03 SQLi Filter的实现及Evasion SQL注入过滤器的实现通常涉及关键词检测、编码检测和语义分析。绕过这些过滤器需要深入理解过滤机制的工作原理,例如了解...
WAF绕过检测技术
01-11
WAF绕过检测技术描述如何绕过现有modsecurity检查机制
WAF详解及WAF绕过
赤赤三的博客
03-20 8776
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
11.WAF绕过原理
kinght的博客
08-27 827
title: 11.WAF绕过原理 date: 2020-08-24 20:09:00 categories: 4.网络安全 1.Web安全 1.SQL注入 tags: 1.Web安全 2.SQL注入 现如今,应该是市面上所有的网站都会有着WAF的存在 Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款.
WAF绕过大全
yggcwhat
05-19 1487
WAF绕过大全
WAF绕过思路整理(挺全)
weixin_50464560的博客
10-23 8759
转载至:https://harmoc.com/secnote/waf%E7%BB%95%E8%BF%87%E6%80%9D%E8%B7%AF%E6%95%B4%E7%90%86.html WAF绕过思路整理 <div class="entry-meta"> <ul class="post-meta"> <li><span class="posted-on"><time class="entry-date p
WAF的识别、检测、绕过原理与实战案例
weixin_64392888的博客
05-24 564
因此,组织需要不断更新和优化WAF的规则库,加强WAF的配置管理,并结合其他安全措施,如入侵检测系统(IDS)、入侵防御系统(IPS)等,构建多层次的网络安全防护体系。同时,安全团队应定期进行安全培训,提高对WAF绕过技术的认识,并进行实战演练,以提高应对复杂攻击的能力。攻击者利用已知的Web应用漏洞,轻易绕过WAF的防护,获取了网站的敏感信息。尽管WAF采用了RASP技术,但由于RASP的检测逻辑存在局限性,攻击者通过构造复杂的攻击向量,成功绕过WAF的检测。WAF的识别、检测、绕过原理与实战案例。
WAF - SQL注入之绕过云锁 靶场实战
weixin_54771278的博客
05-29 2527
实验介绍 云锁是基于操作系统内核加固技术的免费服务器安全管理软件,由国内信息安全厂商椒图科技自主研发,凝结操作系统内核加固领域数十年的经验积累,集合服务器安全、网站安全管理为一体,以操作系统内核加固技术为基础,同时开放网站安全防护、登录防护、流量防护、资源监控、系统优化、安全日志6大功能模块,有效抵御CC、SQL注入、XSS病毒、木马、webshell等黑客攻击,为广大服务器管理员打造高效、可靠、便捷的服务器安全管理方案。 传统的安全防御手段大多基于网络层或者应用层,如防火墙、IDS、杀毒软件等等,..
【干货】记一次WAF对抗赛详解&全方位绕过WAF
热门推荐
Enweitech Software Works
07-02 1万+
0x01 preview 上个星期参加了某巨头厂商承办的挑战赛,比赛周期48小时,题目是成功渗透在安全宝保护下的五个通用cms靶场,其中包括论坛、商城、资源网站等 从靶场布置来看很明显是在测试安全宝对于几种不同类型cms的对攻击的防御能力。 这样的比赛模式区别于常见的CTF线上模式稍有不同,实战味道较强。常规的CTF在Web题目上面主要考察的是漏洞挖掘和利用,难点一般凸显在发现难和利
揭秘SQL注入绕过WAF与过滤机制的策略
实现绕过的关键在于理解SQLiFilter(SQL注入过滤器)的工作原理,攻击者会使用各种技术,如参数化查询混淆、编码技巧、时间延迟、注释字符等,来逃避WAF的检测。 5. **测试向量与实践**: 提供测试向量是文章的一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值