0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御。 0x01 环境搭建 github源码: ...
分类:
数据库 时间:
2018-06-12 14:10:12
阅读次数:
228
一.%00截断 %00截断是上传漏洞中常用的一个非常经典的姿势,在SQL注入中,也可以用来绕过。在WAF层,接收参数id后,遇到%00截断,只获取到 id=1,无法获取到后面的有害参数输入; 二.GET+POST 当同时提交GET、POST请求时,进入POST逻辑,而忽略了GET请求的有害参数输入, ...
分类:
数据库 时间:
2018-06-10 00:27:22
阅读次数:
227
0x00 前言 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御 ...
分类:
数据库 时间:
2018-06-07 14:15:22
阅读次数:
220
nginx.conf配置文件includemain.conf;xhttp{includecontrol.conf;#include/alidata1/app/aegis_waf_ii/conf/waf.conf;server_tagoff;server_infooff;server_tokensoff;includevhost/*.outer;}main.conf配置文件usernginx;#进程
分类:
其他好文 时间:
2018-06-06 18:23:05
阅读次数:
162
东南大学:UDP反射DDoS攻击原理和防范 2015-04-17 中国教育网络 李刚 丁伟 反射攻击的防范措施 上述协议安装后由于有关服务默认处于开启状态,是其被利用的一个重要因素。因此,防范可以从配置主机服务选项和访问控制权限(ACL)入手。具体建议如下: Chargen攻击防范配置方法 关闭Ch ...
分类:
其他好文 时间:
2018-06-05 13:21:44
阅读次数:
382
一、步骤: 1、首先在Windows的图形化界面做好脚本,设置好并发用户数,执行时间等 2、进入到jmeter的bin目录下运行命令 jmeter -n -t /data1/jmeter/ddos/ddosnew.jmx -l /data1/jmeter/ddos/result.jtl -n的意思是 ...
分类:
系统相关 时间:
2018-06-05 13:21:09
阅读次数:
596
事件描述:阿里云报警 ——检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击 源IP: xx.xx.xx.xx 源PORT: 111 ...
分类:
其他好文 时间:
2018-06-05 11:37:16
阅读次数:
1168
0x00 前言 ? ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御。 0x01 环境搭建 github源 ...
分类:
数据库 时间:
2018-06-04 14:25:28
阅读次数:
231
0x00 前言 ? X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 ? 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass。 0x01 环境搭建 官网:https://waf.xsec.io github源码:https:/ ...
分类:
数据库 时间:
2018-06-04 14:18:38
阅读次数:
290
1,Orange网关 Orange是一个基于OpenResty的API网关。除Nginx的基本功能外,它还可用于API监控、访问控制(鉴权、WAF)、流量筛选、访问限速、AB测试、动态分流等。它有以下特性: 提供了一套默认的Dashboard用于动态管理各种功能和配置 提供了API接口用于实现第三方 ...
