一,畸形包绕过 1.先关闭burpsuite长度更新,为get请求,先使用bp的method转换为POST请求 2.get请求中空格使用%20代替,Connection改为keep-alive 二,分块传输绕过waf 1.先在数据包中添加Transfer-Encoding: chunked 2.数字 ...
分类:
Web程序 时间:
2019-11-30 13:42:02
阅读次数:
148
简介:利用OpenResty+unixhot自建WAF系统 [toc] 介绍 OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和 ...
分类:
其他好文 时间:
2019-11-29 17:05:07
阅读次数:
296
收集有用信息 我们可以获取一下有用信息: 1.操作系统win7 x86 2.服务器是apache 2.4.23 3.网站默认的跟路径是C:phpStudy\WWW 4.PHP版本是5.4.45 5.mysql的版本是5.5.53 检测插入条件 知识说明: secure file priv特性 sec ...
分类:
Web程序 时间:
2019-11-29 11:08:41
阅读次数:
208
简单介绍tamper sqlmap的--tamper参数可以引入用户自定义的脚本来修改注入时的payload,由此可以使用tamper来绕过waf,替换被过滤的关键字等。这是一个基本的tamper结构。 换被过滤的关键字等。这是一个基本的tamper结构 #!/usr/bin/env python ...
分类:
数据库 时间:
2019-11-20 23:31:50
阅读次数:
161
1.大小写绕过 这个大家都很熟悉,对于一些太垃圾的WAF效果显著,比如拦截了union,那就使用Union UnIoN等等绕过。 2.简单编码绕过 比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成 %55nION ...
分类:
数据库 时间:
2019-10-30 13:13:23
阅读次数:
107
PHP-WebShell-Bypass-WAF PHP WebShell 一句话的结构是:输入和执行,这是经典的PHP 一句话代码: <?php eval($_GET['test']); ?> <?php eval($_POST['test']); ?> WebShell 的输入点在$_GET 和$ ...
分类:
Web程序 时间:
2019-10-20 11:10:22
阅读次数:
121
先来简单的说一下阿里云服务器等收费的情况 阿里云ECS服务器(8核16G计算型)一年大概要6000左右 OSS对象存储(10TB)一年大概16000左右 SLB(按量付费)一年大概8000左右 WAF(web防火墙)按QPS收费一年5万到6万左右 阿里云CDN按流量包收费(一年10T)大概2000左 ...
分类:
其他好文 时间:
2019-10-16 15:06:15
阅读次数:
244
使用宝塔linux面板很多用户受到CC攻击不知如何防范。 下面讲下如何利用宝塔自带的功能来进行基本的CC防护。 首先是在nginx上有个waf安全模块,里面有CC防护设置。(要求nginx为1.12版本)如下图: 宝塔面板安全设置 上图中CC触发频率以及周期可以根据自己实际情况设置。 触发周期短检测 ...
分类:
系统相关 时间:
2019-10-10 15:21:36
阅读次数:
895
今日学习内容 owasp top10攻击、CC攻击、CDN概念、DNS概念、正则、OSI七层模型、WAF 关于OWASP Top 10 什么是OWASP ? 全称是Open Web Application Security Project,即开放式We应用程序安全项目,是一个开源的,非营利性的全球性 ...
分类:
其他好文 时间:
2019-10-07 23:38:46
阅读次数:
109
