>>OpenResty<< >>Lua教程<< >>反向代理百度百科<< >>X-WAF配置指南<< ...
分类:
其他好文 时间:
2019-10-06 00:00:53
阅读次数:
104
0x01 简介 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景。 0x02 功能 伪造指定ip 伪造本地ip 伪造随机ip 随机ip爆破 0x03 安装与使用 安装 下载fakeIP.py:https://github.com ...
分类:
Web程序 时间:
2019-10-04 16:58:02
阅读次数:
1007
几个星期以前,作者在某个OOB-XXE漏洞测试中遇到过这样一种场景:目标应用后端系统WAF防火墙阻挡了包含DNS解析在内的所有出站请求(Outgoing Request),但最终,通过利用php://filter//的封装协议,作者成功实现了OOB-XXE漏洞测试。以下是其分享: 在对目标应用的测试 ...
分类:
Web程序 时间:
2019-09-23 12:25:03
阅读次数:
133
原由:在openresty-waf应用里,一般做法是把配置信息保存到ngx.shared.config.各个检查规则配置再从这里读取。有时会遇到配置读取不正确的问题,影响问题排查进度。所以写了一个方便查看配置小功能.现用用lua写了一个简单的配置页面,便于查看当前的配置:location/show{default_typetext/html;content_by_lua_block{localco
分类:
其他好文 时间:
2019-09-20 12:19:23
阅读次数:
85
由于使用的华为云的CDN加速,结果发现我的阿里云服务器突然卡顿,网页打开极慢。登陆华为云CDN管理后台发现最高带宽占用30M,流量短时间内达到10GB以上,这么大的流量我的服务器肯定扛不住啊。于是还跟华为云进行了一个撕逼,然后果断弃了华为云。 但是更换了其他CDN或者WAF之后,CPU占用依然居高不 ...
分类:
Web程序 时间:
2019-09-14 16:08:39
阅读次数:
196
原帖地址 : https://xz.aliyun.com/t/5558 2019CISCN华南线下的两个简单 web 部分题目下载地址,有的不完整 : "点我点我" <! more web 1 考点 : 无参函数的 RCE 在注释中发现了 forgetpassword.php 页面 打开 forge ...
分类:
Web程序 时间:
2019-09-11 22:17:40
阅读次数:
152
初面: SQL注入 (1)如何判断一个页面存在SQL注入,有哪些方法 (2)针对具体数据库如何进行注入,如access,sqlserver,mysql,oracle,mongodb,Nosql (3)碰到有Waf的情况如何绕过,有哪些绕过手段 XSS (1)XSS分类 (2)Dom型XSS应用场景 ...
分类:
其他好文 时间:
2019-09-10 19:38:26
阅读次数:
115
Access 绕过: sqlmap.py -u http://www.xx.com/project.asp?id=29 --tables --tamper space2plus.py ...
分类:
其他好文 时间:
2019-09-06 12:30:04
阅读次数:
375
上传绕过WAF的一些常用方法 0X01姿势总结 (1)fuzz文件名后缀方法用burpsuite进行模糊测试,寻找黑名单之外的文件(2)windows系统可以进行后缀修改如:webshell.php……………..(3)路径绕过:有些WAF只会监视某个目录是否被上传webshell(4)大小写组合如: ...
分类:
其他好文 时间:
2019-08-24 22:59:19
阅读次数:
223
转自:https://www.jianshu.com/p/fb63bb254655 地址:https://www.wafunny.com/blog/go/goreplay.html ...
分类:
移动开发 时间:
2019-08-19 17:12:04
阅读次数:
85
