WAF的介紹和簡單繞過

原創 珉學 2018-09-20 02:27

1.什麼是WAF和WAF的分類?

    捕獲.GIF

     捕獲1.GIF

           捕獲2.GIF

2.WAF的工作流程

          捕獲3.GIF

         身份認證 

              捕獲4.GIF

        數據包解析

        捕獲5.GIF

       規則匹配

         捕獲6.GIF

     捕獲7.GIF

3.WAF繞過的方式

     身份驗證階段

          捕獲8.GIF

     

          數據包解析階段

              捕獲9.GIF

        捕獲10.GIF

       規則匹配階段

           捕獲11.GIF

4.WAF繞過實例

     打開頁面

        捕獲12.GIF

      WAF過濾 and 1=1

     捕獲13.GIF

    WAF過濾1=1

       捕獲14.GIF

    用按位符繞過WAF

      捕獲15.GIF

     用order by 查詢字段

      捕獲17.GIF

   用/**/繞過WAF

      捕獲18.GIF

     或用/*!*/繞過WAF

        捕獲20.GIF

5.過簡單的安全狗

        找到注入點,並用內聯註釋/*!*/繞過WAF

          1.GIF

     爆出表名

      2.GIF

     爆出字段名

         3.GIF

   爆出用戶名密碼

       4.GIF

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

waf

./waf configure --board=Pixhawk1 ./waf configure --board fmuv5 ./waf build --target examples/INS_generic --upload ./w

彩云的笔记 2020-06-29 05:46:38

ArduPilot——代碼編譯——waf (using WSL only in windows 10)

版權聲明:本文爲博主原創博文,未經允許不得轉載,若要轉載,請說明出處並給出博文鏈接    1. 確保是windows 10系統,找到->控制面板->程序->啓用或關閉Windows功能->選中“適用於Linux的Windows子系統”。

慕离巷 2020-06-27 08:35:27

modsecurity規則入門(二) 及正則表達式學習

modsecurity handbook心得:                                                                                 1.modsecurity是基

亨格瑞 2020-06-24 15:47:41

modsecurity規則集說明

1.1 基本規則集   modsecurity_crs_20_protocol_violations.confHTTP協議規範相關規則 modsecurity_crs_21_protocol_anomalies.confHTTP協議規範相

亨格瑞 2020-06-24 15:47:40

IIS 微信小程序打包發佈爬坑筆記

1.可以先到阿里雲(如果在阿里雲註冊消費過,應該能免費申請到賽門鐵克SSL證書)。    1)申請需要與域名的解析進行驗證,這個可以讓DNS管理者協助幫忙驗證(略)    2) 下載IIS的的證書(我配置的事IIS6.1) 3)下載後,

HeavenBen 2020-06-23 10:07:28

使用U盤啓動盤安裝Imperva MX13.0

準備工作 編者使用虛擬機軟件:Vmware Workstation14.0; 製作好的U盤啓動盤(MX/GW版本爲虛擬化版本13.0); 電腦插上U盤啓動盤。 1.Vmware Workstation新建一個虛擬機(Centos6

azhe_1202 2020-06-21 10:42:24

阿里雲如何將CDN與WAF共同使用

今天弄了一波阿里雲的CDN 跟 WAF如何同時使用的問題。 思路是這個樣子的: 1.配置CDN,將域名接入CDN。(此時的域名解析的CNAME類型值是CDN的,這個很重要) 2.在Web應用防火牆中創建網站配置(這個地方在創建的時

Java界的托儿索 2020-06-16 01:55:12

WAF基本原理與部署方式

WAF介紹 WAF是什麼? WAF的全稱是(Web Application Firewall)即Web應用防火牆,簡稱WAF。 國際上公認的一種說法是:Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門爲We

曹世宏的博客 2020-06-15 21:25:52

ModSecurity/2.x + Apache 安裝

文章目錄1. Apache源碼安裝1.1 安裝包1.2 解壓縮1.3 apr/apr-util/pcre安裝1.4 apache安裝1.5 啓動1.6 Apache代理配置2. ModSecurity安裝2.1 安裝包2.2 依賴

xufengchao_coco 2020-06-14 08:52:17

WAF技術以及SQL繞過

WAF的概念: WAF(Web Application Firewall)的中文名稱叫做“Web應用防火牆”。 Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門爲Web應用提供保護的一種網絡安全產品。WAF可以增大

花自飘零丶水自流 2020-06-08 15:05:12

ModSecurity 3.x + Nginx 編譯安裝

xufengchao_coco 2020-05-22 10:24:16

ModSecurity + Apache 安裝

xufuangchao 2020-05-16 11:14:33

基於spark實時分析nginx請求日誌,自動封禁IP之一:web功能設計

sdmei 2020-05-13 01:45:14

windows下開源免費waf防火牆,附可用資源包

mlichenfeng 2020-02-23 06:46:23

Imperva之SecureSphere打補丁

azhe_1202 2019-04-15 20:00:14