0x00 前言 ? ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御。 0x01 环境搭建 github源 ...
分类:
数据库 时间:
2018-06-04 14:25:28
阅读次数:
231
0x00 前言 ? X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 ? 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass。 0x01 环境搭建 官网:https://waf.xsec.io github源码:https:/ ...
分类:
数据库 时间:
2018-06-04 14:18:38
阅读次数:
290
1,Orange网关 Orange是一个基于OpenResty的API网关。除Nginx的基本功能外,它还可用于API监控、访问控制(鉴权、WAF)、流量筛选、访问限速、AB测试、动态分流等。它有以下特性: 提供了一套默认的Dashboard用于动态管理各种功能和配置 提供了API接口用于实现第三方 ...
0x01杂言 晚上看了一下bypass 的一些套路,罗列了一下各种情况的payload好让挖洞可以直接用,看着看着就被朋友拉去挖洞了。。。当然也是针对xss 这里先总结下几种测试情况,以及挖洞过程测试xss的步骤方法。。。当然我之前挖到的xss都是没有waf的情况属于随缘挖洞,一些高级的bypass ...
分类:
其他好文 时间:
2018-05-27 10:41:51
阅读次数:
143
这可以算最容易想到的方式了。大小写绕过用于只针对小写或大写的关键字匹配技术,正则表达式 /express/i 大小写不敏感即无法绕过,这是最简单的绕过技术。 举例: 减少漏报方法:对每个关键字或每种情况都做大小写转换的处理。 这种情况下大小写转化无法绕过,而且正则表达式会替换或删除 select、u ...
分类:
其他好文 时间:
2018-05-26 13:02:04
阅读次数:
217
前言在分享这个事件前,笔者先和大家一起来了解一下CC攻击:【CC攻击】?攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(ChallengeCollapsar)。CC主要是用来攻击页面的。CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,
分类:
其他好文 时间:
2018-05-21 12:37:44
阅读次数:
171
客户端程序员:即在其应用中使用数据类型的类消费者,他的目标是收集各种用来实现快速应用开发的类。 类创建者:即创建新数据类型的程序员,目标是构建类。 访问控制存在的原因:a、让客户端程序员无法触及他们不应该触及的部分 ; b、允许库设计者可以改变类内部的工作方式而不用担心会影响到客户端程序员 java ...
分类:
编程语言 时间:
2018-04-30 18:02:53
阅读次数:
170
作者:Veneno@Nu1L 稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 原文:https://www.anquanke.com/post/id/84675 Hello,大家好,我是Nu1L战队队长Veneno,通过这篇文章说一下关于CTF线下赛的AWD ...
分类:
其他好文 时间:
2018-04-29 23:15:00
阅读次数:
297
主要使用wxPython(最成熟的跨平台python GUI工具包) 前戏:老牌python GUI程序(Tkinter) def callback(): var.set("hhhhhhh") root = Tk() var = StringVar() var.set("66666") frame1 ...
分类:
编程语言 时间:
2018-04-29 20:33:38
阅读次数:
303
引言?一波未平,一波又起。金融公司的业务实在是太引人耳目,何况我们公司的业处正处于风口之上(区块链金融),并且每天有大量现金交易,所以不知道有多少黑客躲在暗处一直在盯着你的系统,让你防不胜防,并且想方设法的找到突破点,以达到黑客的目的来获取非法利益。俗话说:“道高一尺,魔高一丈”。系统和代码也可以这么理解,防的在好,总有漏洞。系统和代码也没有绝对的安全。该来的总会来......sql注入与“她”相
分类:
数据库 时间:
2018-04-27 16:51:34
阅读次数:
181
