记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

绕过安全狗:简单绕过安全狗进行任何操作 让狗形同虚设

2013-05-15 14:35

好吧,吊了大家两个小时的胃口,偶尔娱乐一下,求不黑。

可能之前很多人想到的是之前那个传了很久的溢出,其实没溢出那么牛逼,不过影响也不小,一个逻辑漏洞,

如果是你做网站,装了WAF,肯定是会把搜索引擎的爬虫放到白名单里面,不然SEO就蛋疼了。

 

白名单意味着啥???

就是说在白名单里面的用户,WAF都会不管它,直接放行,那我们就可以利用这个东西来绕过安全狗。

 

搜索引擎爬虫是在安全狗的白名单,我们只需要伪装成爬虫就OK了。

那安全狗是怎么判断爬虫的呢??我测试了一下,发现他用的很普通的方法,就是user-agent。大家都知道这个东西很好伪造。

 

用C#写了个简单的浏览器,当然你也可以修改浏览器默认的user-agent。

EXP下载:(被某狗打电话到我所在公司的CEO那告状和谐咯)自己搞吧

 

工具测试:

我在虚拟机http://10.18.112.30/安装了安全狗。

工具图:

 

 

没有使用伪装爬虫时如下图,很正常被拦截了。

当我们使用工具时,工具自动修改了数据包。效果图如下,绕过了

 

很简单的方法,其实做waf都是要照顾搜索引擎爬虫的,大家可以淫荡一下其他的waf了。

  • 阅读:69921 | 评论:0 | 标签:黑客攻防 WAF 绕过 安全狗

    想收藏或者和大家分享这篇好文章→复制链接地址
  • “绕过安全狗:简单绕过安全狗进行任何操作 让狗形同虚设”共有0条留言

    发表评论

    姓名:

    邮箱:

    网址:

    验证码:

    公告

    关注公众号hackdig,学习最新黑客技术

    推广

    工具

    标签云