技术笔记

我的WAF Bypass实战系列

字号+ 作者:Bypass 来源:转载 2018-07-25 15:02 我要评论( )

08年初诞生了一种SQL群注攻击,黑客在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入,黑客通过一条结合游标的SQL语句就能将......

  08年初诞生了一种SQL群注攻击,黑客在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入黑客通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改,可以在网站上无差别的进行网页木马攻击。
 
  互联网是快速更新迭代的,但是很多没有开发能力的单位都是通过外包建立网站,网站的程序一上线就再也无人维护,很多程序存在各种漏洞无法修补,于是WAF便有了市场,现今门槛低且最能解决问题的是针对IIS/apache的软件WAF,通常一个模块一个扩展就能搞定,当然也有耗资百万千万的硬件WAF,然而如果WAF拦截规则出现漏洞,这百万千万的硬件也就是一堆废铁。那么WAF是否真的可以解决所有的WEB安全问题呢?所以本文主要解析一些可以绕过WAF的罕见漏洞,供安全人员参考。
 
  梳理了一下自己写过的WAF Bypass相关的文章,按照编写时间顺序,汇总成了一个WAF Bypass实战系列,如果你准备了解WAF攻防这一块的内容,可以来了解一下。
 
  这些文章里面,包括了多种WAF Bypass的思路,主要利用了WAF层的逻辑问题,数据库层的特性,服务器层编码解析、参数获取的差异,
 
  在实战中一步步摸索总结,
 
我的WAF Bypass实战系列
 
  有一些思路让我至今觉得非常有意思。

       链接: https://pan.baidu.com/s/16dC4imRW6lbBHOwV8lUbMg 密码: kt3u
 
  蜗蜗侠s’Blog是一只致力专注于黑客技术的小屌丝(蜗蜗侠)创建而成,本站主要以无线安全/内网渗透/渗透测试/代码审计/客户端安全等等一些网络安全技术,以及分享最新的黑客教程渗透测试工具.为网络安全爱好者提供一个能学习的黑客技术网站.

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Note/684.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • URL whitelist Bypass

    URL whitelist Bypass

    2017-04-18 08:45

  • 关于Safe DOG的文件上传bypass

    关于Safe DOG的文件上传bypass

    2017-03-07 09:08

  • 渗透测试中的Bypass技巧(二)

    渗透测试中的Bypass技巧(二)

    2017-03-07 09:14

  • 渗透测试中的Bypass技巧(一)

    渗透测试中的Bypass技巧(一)

    2017-03-07 08:54

网友点评
暂时未开启评论功能~