WAF及WAF绕过

最新推荐文章于 2024-09-05 20:20:04 发布
最新推荐文章于 2024-09-05 20:20:04 发布
阅读量167 收藏
点赞数
分类专栏: SQL注入 文章标签: 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44925883/article/details/116333796
版权

WAF

web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。

WAF绕过

  1. 双写,大小写,替换关键字,编码绕过注入,十六进制编码,Unicode编码,
  2. 使用注释,普通注释,内联注释,
  3. 等价函数和命令,符号 and后or可用 &&和||
  4. 生僻函数
  5. 特殊符号
    双写绕过:less-25 (过滤了or和and)
    大小写绕过:less-27(过滤了union和select)
    替换关键字:
    编码绕过:(URL编码–十六进制编码—unicode编码等)
    使用注释:
    普通注释:
    //在构造得查询语句中插入注释,规避对空格的依赖或关键字识别;#、–+用于终结语句的查询。
    内联注释:
    相比普通注释,内联注释用的更多,他有一个特性/!    /只用在mysql能识别。
    select * from /!users/ id=1;
    等价命令
    有些函数或命令因其关键字被检测出来而无法使用,但是很多情况下可以使用与之等价或相似
    的代码替代其使用。
    函数或变量
// ,-- , /**/,#,--+,-- ?-,--a
hex()bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()
信安小菜鸡
关注
专栏目录
文件上传绕过WAF的技巧大全
Cwillchris的博客
07-26 443
另外从上述方法中,若按你们的想法,会分成那些类型?我在这里统一划分为特性和WAF解析不当(PS下,我不是学术派,较口语化)i,特性包括系统特性,协议特性等等,比如上述中,大多数都属于协议的特性,因为FORM-DATA的协议十分松散;而解析不当,比如上述的第二种添加一个filename1,这种在正常情况下无法使用的,如果第0种,对特殊字符无法解析,归根到底也是WAF对内容解析的不当处理。突破6,在Content-Disposition后添加多个空格或者在form-data;...
WAF绕过技巧
Liu_Bruce的博客
08-19 518
WAF(Web Application Firewall)是一种安全系统,旨在监控和控制网络流量,以防止攻击,如SQL 注入、跨站脚本(XSS)和拒绝服务(DoS)。WAF 可以通过多种方式绕过
WAF详解及WAF绕过
赤赤三的博客
03-20 9251
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
浅谈WAF绕过技巧
lza20001103的博客
09-05 887
渗透测试--浅谈WAF绕过技巧
SQLMAP绕过WAF小技巧
永远是少年
08-26 2451
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQLMAP绕过WAF小技巧。 一、SQLMAP伪造IP白名单 二、SQLMAP伪造静态资源 三、SQLMAP伪造URL白名单 四、SQLMAP伪造User-Agent
WAF 分块传输绕过
LuckySec
02-24 6906
0x01 分块传输介绍 分块传输编码(Chunked transfer encoding)是超文本传输协议(HTTP)中的一种数据传输机制,允许HTTP由应用服务器发送给客户端应用( 通常是网页浏览器)的数据可以分成多个部分。在消息头中指定Transfer-Encoding: chunked 就表示整个response将使用分块传输编码来传输内容,一个完整的消息体由n个块组成,并以最后一个大小为0的块为结束。每个非空的块包括两部分,分别为:块的长度(用十六进制表示)后面跟一个CRLF (回车及换行),长度并
mysql绕过waf_SQL注入中的WAF绕过技术
weixin_33435461的博客
02-19 465
1.大小写绕过这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。2.简单编码绕过比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。也还有大家在Mysql注入中比如表名或是...
waf如何绕过
2201_75341517的博客
06-05 1769
1.身份认证绕过,2.数据包解析绕过,3.规则绕过
XSS绕过安全狗WAF
永远是少年
11-25 3063
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS绕过安全狗WAF。 一、测试环境搭建 二、XSS绕过安全狗WAF
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
长亭waf绕过1.pdf
07-09
长亭waf绕过1
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
struts2绕过waf读写文件及另类方式执行命令1
08-03
首先,我们注意到标题提到的"struts2绕过waf读写文件及另类方式执行命令1",这表明我们将讨论Struts2框架中的一种或多种漏洞,这些漏洞可能导致攻击者能够绕过WAF的保护措施,执行命令或进行文件操作。 在描述中,...
WAF是如何被绕过
06-21
以一些实际的WAF产品为例,了解它们的基本原理,它们存在的缺陷,以及攻击者是如何利用它们的缺陷让它们形同虚设的。我们应当更注重于注重自身系统和应用的安全,不能以为有了WAF就可以高枕无忧。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8533
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Python基于yolo的健身姿势检测与姿态矫正建议系统源代码+使用说明
11-06
Python基于yolo的健身姿势检测与姿态矫正建议系统源代码+使用说明 model:保存模型参数 config.yaml:配置文件 resource:输入文件夹,具有固定的目录结构(动作-视角-标准/错误点) output:输出文件夹,保持和resource相同的目录结构 main.py:实现resource2output方法,将resource中的资源全部提取数据并输出(csv格式)到output的相应位置 tasks:任务文件夹,对于不同的健身任务,分别实现标准性判别方法 keypoint.py:是对yolo模型返回的节点进行对象封装,其中的Keypoint对象封装了返回结果(是一个数组)中各关节位置对应数组中的位置,这样就不需要通过下标直接获取节点,而是通过例如get("l_elbow")的实例方法获取节点 pull_up.py:为具体健身任务实现标准性判别方法,这里是对引体向上的处理 task_processor.py由于main.py是在对resource文件夹中所有资源进行处理,不同的方法将对应不同的处理函数,task_processor.py中实现了TaskProces
使用谷歌地球引擎(GEE)和 Python 在孟加拉国西北部绘制基于机器学习算法的作物类型图.ipynb
最新发布
11-06
精确的作物类型图对于监测种植模式、可持续利用现有自然资源和估算收成至关重要。人工数字化和标注--绘制作物类型图的常用方法--大多费时、费钱,甚至容易出现人为错误。近来,机器学习算法已发展成为利用卫星图像对作物品种进行分类的经济有效的替代方法。为应对最新进展,本研究将采用机器学习算法,利用哨兵-2 图像对孟加拉国西北部(拉杰沙希县戈达加里乡)的 6 种作物类型进行分类。将研究四种机器学习算法(随机森林、人工神经网络、KNN 和支持向量机),以准确绘制作物类型图。
【光伏预测】基于蛇群优化算法SO优化高斯过程回归GPR实现光伏多输入单输出预测附Matlab代码.rar
11-06
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
【光伏预测】基于鹈鹕优化算法POA优化高斯过程回归GPR实现光伏多输入单输出预测附Matlab代码.rar
11-06
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
破解WAF:探索多种绕过方法策略
对于防御WAF绕过,开发者和管理员需要定期更新防护规则,采用动态分析和机器学习技术提高检测精度,同时加强输入验证、代码审计以及限制不必要的系统暴露。 这篇文章深入剖析了绕过WAF的策略和技术细节,提醒网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值