WAF(web应用防火墙)逐渐成为安全解决方案的标配之一。正因为有了它,许多公司甚至已经不在意web应用的漏洞。遗憾的是,并不是所有的waf都是不可绕过的!本文将向大家讲述,如何使用注入神器SQLMap绕过WAFs/IDSs。svn下载最新版本的sqlmapsvn checkouthttps://s...
分类:
数据库 时间:
2015-01-27 01:48:07
阅读次数:
182
今天发现一个绕过正则过滤的问题,很多应用使用正则表达式对输入数据做安全验证,比如,在修改设备名称时的过滤过则为:String regex = "^.*[\\\\/:\\*\\?\"\\|'%&]+.*$"; //出现1个或多个”\/:*?"|'%&”字符表示不合法Pattern pattern = ...
分类:
其他好文 时间:
2015-01-22 21:42:13
阅读次数:
223
1.聚合是由实体和值对象组成,一个聚合有一个聚合根,聚合根是实体,并且是只读的实体,因为聚合的子实体是可以被临时传递到外部的,绕过聚合根修改了聚合内的东西,这样就无法确保聚合内的不变性了,我们要避免任何可能从外部修改聚合的行为发生,所有修改聚合的行为必须通过聚合根来实现。2.聚合有不变性约束规则。3...
分类:
其他好文 时间:
2015-01-22 17:08:30
阅读次数:
216
0×01开场白这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家。可 能在大家眼中WAF(Web应用防火墙)就是“不要脸”的代名词。如果没有他,我们的“世界”可能会更加美好。但是事与愿违。没有它,你让各大网站怎么 活。但是呢,我是站在你们的这一边的,所以,今天我们就来谈谈如何绕过WA...
分类:
其他好文 时间:
2015-01-20 15:36:42
阅读次数:
180
老男孩教育第三关课后实战考试题练习:请统计老男孩老师的博客http://oldboy.blog.51cto.com/博客每小时所有用户访问的pv数量(统计样本5个小时以上)。要求:老男孩20-21期的学生必答题,其他期可眩也欢迎linux初学网友们参与解答,高手请绕过。考试题提示:1、没思路的,可以..
分类:
Web程序 时间:
2015-01-20 10:36:15
阅读次数:
234
即使设备没有root,我们也可以通过物理访问设备来获取应用程序的数据,我们还可以通过此方法改变一个应用程序的数据。如果一个应用程序将数据存储在客户端, 使用简单的密码或pin检查,攻击者有可能使用这种方法来绕过这些检查。在本文中,我们将讨论如何在一台没有root的设备上利用这种方法来改变应用程序特定...
分类:
其他好文 时间:
2015-01-16 20:52:42
阅读次数:
225
为啥要使用shell命令操纵本地网络?因为这样就可以绕过上层connectService来干一些事情,至于具体要干点什么事情,容我先卖个关子在以后的blog里说明。
首先进入adb shell,然后去Ping一个服务器的ip地址
ping 211.69.198.222
PING 211.69.198.222 (211.69.198.222) 56(84) bytes of data...
分类:
移动开发 时间:
2015-01-13 14:24:50
阅读次数:
152
Motivation在软件系统中,经常面临着“一系列相互依赖的对象”的创建工作;同时,由于需求变化,往往存在更多系列对象的创建工作。如何对应这种变化?如果绕过常规的对象创建方法(New),提供一种“封装机制”来避免客户程序和这种“多系列具体对象创建工作”的紧耦合。Intent提供一个接口,让该接口负...
分类:
其他好文 时间:
2015-01-13 14:13:02
阅读次数:
138
即使设备没有root,我们也可以通过物理访问设备来获取应用程序的数据,我们还可以通过此方法改变一个应用程序的数据。如果一个应用程序将数据存储在客户端, 使用简单的密码或pin检查,攻击者有可能使用这种方法来绕过这些检查。在本文中,我们将讨论如何在一台没有root的设备上利用这种方法来改变应用程序.....
分类:
其他好文 时间:
2015-01-13 01:20:04
阅读次数:
194
当post的值中有"and"时,request.getParameterMap()会把"and"自动忽略掉,我原本想传个sql到后台,结果request.getParameterMap()把sql里的and都去掉了。绕过的办法就是把and替换为"/**/and"。
分类:
其他好文 时间:
2015-01-10 18:33:01
阅读次数:
195
