记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

神兵利器 - WAF2.0指纹识别

收录于话题         WAFW00F:Web应用防火墙指纹工具。        发送一个正常的HTTP请求,并分析响应;这将确定一些WAF解决方案。
发布时间:2021-01-23 14:44 | 阅读:8051 | 评论:0 | 标签:WAF

常见6种WAF绕过和防护原理

收录于话题 本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担!今天就聊聊关于上传绕过WAF的姿势,WAF(Web Application Firewall)简单的来说就是执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
发布时间:2021-01-17 12:17 | 阅读:10207 | 评论:0 | 标签:WAF 防护

记一次垃圾字符文件上传绕过WAF

收录于话题 以下文章来源于T9Sec ,作者yuyan-sec T9Sec T9Sec Team 是一个乐于分享、交流至上的安全团队,团队将不定期更新漏洞挖掘中的奇技淫巧以及队员丰富的实战经验技术,绝对干货满满,期待您的关注! 前言在测试项目的时候,网站有WAF,只要输入一些敏感字符就直接封IP 10分钟左右。发现有上传功能,经过不断的测试终于拿到shell。经过上传附件,使用burpsuite 抓取数据包测试上传jsp直接被封IP了,换个IP继续。在文件名利用很多个. 成功上传 jsp。
发布时间:2020-12-26 16:18 | 阅读:18572 | 评论:0 | 标签:WAF

实战绕过两层waf完成sql注入

收录于话题 以下内容仅作为学习研究,禁止用于违法犯罪活动,由此产生的法律风险自行承担。某网站存在一处sql注入漏洞。第一层 waf在 id 后面加上&a
发布时间:2020-12-25 17:12 | 阅读:13789 | 评论:0 | 标签:注入 WAF SQL

技术讨论 | 在HTTP协议层面绕过WAF

收录于话题 PS:本文仅作技术分析,禁止用于其它非法用途来源:https://www.freebuf.com/news/193659.html进入正题,随着安全意思增强,各企业对自己的网站也更加注重安全性。但很多web应用因为老旧,或贪图方便想以最小代价保证应用安全,就只仅仅给服务器安装waf。所以渗透测试过程中经常遇到惹人烦的web应用防火墙,只有突破这第一道防御,接下来的渗透才能顺利进行。本次从协议层面绕过waf实验用sql注入演示,但不限于实际应用时测试sql注入(命令执行,代码执行,文件上传等测试都通用)。声明:这次实验的思路方法并非自己想出来的,是听了某大牛的公开课总结学习而来。
发布时间:2020-12-23 11:15 | 阅读:14302 | 评论:0 | 标签:WAF

技术研究 | 绕过WAF的常见Web漏洞利用分析

收录于话题 前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)靶场使用DVWA:http://www.dvwa.co.uk/SQL注入判断是否存在注入方法一and 1=1被拦截单独的and是不拦截的。and后面加数字或者字符的表达式会被匹配拦截。
发布时间:2020-12-18 10:30 | 阅读:12826 | 评论:0 | 标签:漏洞 WAF

阿里云安全 WAF靶场2.0来袭!召唤英雄

收录于话题 里拉琴响起,太阳之神的弓箭高举。光明与真理共存,攻击与守护同在。网络世界的阿波罗们,欢迎来到更奇妙的靶场环境!更丰富的奖励内容,海内外明星白帽参与,全球同步进行。阿波罗计划是阿里云安全推出的WAF安全挑战赛系列项目,阿波罗是太阳神,WAF是web应用防火墙,阿波罗计划 - 骄阳之火亦能御守。
发布时间:2020-12-14 18:56 | 阅读:17872 | 评论:0 | 标签:WAF 靶场 安全

新一代WAF的五大技术创新点

目前,由于受到种种潜在利益的驱动,Web应用程序已然成为攻击者的首要目标。Web应用程序上的安全漏洞有可能造成数百万美元损失。令人惊讶的是,与DNS(域名系统)有关的服务中断和分布式拒绝服务(DDoS)攻击会给业务带来严重的负面影响。在众多应对策略中,Web应用程序防火墙(WAF)无疑扮演着最重要的首道防线角色。Web应用程序防火墙的基本功能是建立一道坚固的防线,以防止某些恶意流量任意攫取资源。尽管WAF技术自上世纪九十年代末就已诞生,然而早期技术成果早已无法适应如今愈发复杂的网络攻击活动。随着安全风险的不断提升,新一代Web应用程序防火墙已然成为唯一值得信赖的防护方案。
发布时间:2020-12-03 14:48 | 阅读:15795 | 评论:0 | 标签:WAF

五大类黑客及其危害&新一代智能WAF

五大类黑客及其危害计算机已经不再是新生事物,黑客也已经不再恶作剧。现在的黑客都是做事小心谨慎的专业人员,有的黑客组织甚至有着自己的人力资源团队和假期。尽管黑客的类型非常多,但是大致可分为以下5类型。1炫技型大多数以图财为目的的黑客幕后老板都有着邪恶的动机或是政治图谋。但是有一群黑客却只是为了炫耀一下自己。他们可能想向自己或是在线社区展示一下自己的技术实力。他们热衷于在政府、医院等网站上打上“宣传标语”,刷存在感是他们的主要目的。2僵尸网络操控型许多恶意软件都会寻找“肉鸡”,然后再通过它们将恶意软件传播到世界各地,以感染尽可能多的计算机。这种类型黑客的目标是组建大型僵尸网络。
发布时间:2020-11-20 12:36 | 阅读:24088 | 评论:0 | 标签:安全学院 WAF 黑客 智能

常见WAF进程服务与WAF识别总结

常见WAF进程和服务(1) D盾服务名:d_safe进程名:D_Safe_Manage.exe、d_manage.exe(2) 云锁服务端监听端口:5555服务名:YunSuoAgent/JtAgent(云锁Windows平台代理服务)
发布时间:2020-11-20 09:48 | 阅读:50275 | 评论:0 | 标签:WAF

常见WAF进程/服务与WAF识别总结

收录于话题 #防护绕过 6个 声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
发布时间:2020-11-18 11:36 | 阅读:24091 | 评论:0 | 标签:WAF

政务混合云WAF | 复杂场景Web攻击防御最佳实践

收录于话题 如何在流量不上云、IT架构不变动、过往投入价值最大化前提下,实现统一管控,提升Web攻击防御能力?  2020年夏    阿里云安全接待了这样一位客户    阿里云安全派出了工程师团队    全面对接客户需求  了解到. . .这是一家高安全级别政务云客户,在数字化转型的浪潮中,许多业务需要通过线上网站向公众开放查询接口,更有大量公告通告、法规文件、政策解读在官网公布。
发布时间:2020-11-10 20:37 | 阅读:19222 | 评论:0 | 标签:防御 WAF 攻击

安恒新一代智能WAF防护新引擎新效果,让Webshell无所遁形

收录于话题 做Web防护我们是认真的不知不觉已经陪伴大家4期了#往期推荐##  安恒发布新一代智能WAF,“5+3”新引擎让Web防护更简单更智能#&nbsp
发布时间:2020-11-10 10:19 | 阅读:16955 | 评论:0 | 标签:WAF shell 智能 防护

那些可以绕过WAF的各种特性

收录于话题 Bypass Author Bypass Bypass 致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。 闻道有先后,术业有专攻,如是而已。 来自公众号:Bypass我们一般将安全防护软件划分为:云WAF、硬件waf、主机防护软件、软件waf等。在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构造Payload,从而可以和各种WAF进行对抗,甚至绕过安全防御措施进行漏洞利用。
发布时间:2020-11-09 11:07 | 阅读:15290 | 评论:0 | 标签:WAF

你真的懂“WAF”吗?

收录于话题 一、WAF是什么?WAF称为web应用防火墙,是通过执行一系列针对HTTP,HTTPS的安全策略,来专门对web应用,提供保护的一款产品。WAF初期是基于规则防护的防护设备;基于规则的防护,可以提供各种web应用的安全规则,waf生产商去维护这个规则库,并实时为其更新,用户按照这些规则,可以对应用进行全方面的保护。二、WAF干什么用?当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。
发布时间:2020-11-06 18:41 | 阅读:19898 | 评论:0 | 标签:WAF

项目实战 | 报错SQL注入绕过WAF

报错的存在一个有趣的点:http://domain.com/xxx/news.php?id=xxx打开URL时,遇到了MySQL错误。 Warning: mysql_fetch_assoc() expects parameter 1 to be resource, boolean give in … on line 27 访问端点时出现MySQL错误 我们知道可以执行一些基于布尔的查询来利用这个报错注入,让我们开始利用。
发布时间:2020-11-05 18:24 | 阅读:14745 | 评论:0 | 标签:DIOS Mysql order by SQL注入 waf 布尔值 绕过 绕过WA 注入 WAF SQL

waf的识别与绕过(不断补充)

收录于话题 0x00 前言我们在渗透测试的过程中,一般大型的网站都会有waf等安全设备,对于我这种脚本小子来说,一下子就“萎了”,所以这里记载下常见的waf,以及一些常见的绕过方式,相关资料收集于互联网,如有侵权,请与我联系。
发布时间:2020-11-05 09:12 | 阅读:46313 | 评论:0 | 标签:WAF

看我如何 Bypass WAF 弹 XSS

收录于话题 #web安全 2个 点击蓝字关注我们声明本文作者:Keac本文字数:1600阅读时长:15分钟附件/链接:点击查看原文下载声明:请勿用作违法用途,
发布时间:2020-11-04 15:10 | 阅读:18191 | 评论:0 | 标签:xss WAF

混合云安全 | 阿里云WAF“多城异构”防护升级

收录于话题 想了解上述方案的落地案例,请持续关注我们吧!为了能一直相见请给“阿里云安全”星标、点赞、在看期待再会
发布时间:2020-10-30 19:14 | 阅读:21720 | 评论:0 | 标签:WAF 防护 安全

网络安全运营之WEB纵深防御

一、故事 今年是又安国建国100周年,哼将军被召回负责庆典安全防护工作,庆典当晚皇宫内将会举行隆重的仪式。哼将军这边却不能有一丝的放松,仍要提高警惕,毕竟周边邦国首领当晚都会到场庆贺,庆典现场出不得半点差错。 皇宫各个城门都有重兵把守,1年前就已经按照哼将军的提议对每个出入人员进行记录,并加强了对人员信息的排查。各个城门之间又设有多个关卡,全天都有人把守,各关卡间都有一队士兵巡逻,每三天换岗,上岗前需获取临时金牌。金牌分为两部分,一部分由关卡守卫持有,另一部分由巡逻士兵持有,士兵巡逻至关卡需核对令牌无误,方能继续前进。 即使皇宫戒备已如此森严,仍不能完全免去危机。

开源WAF搭建

ModSecurity在Ubuntu和Nginx上安装,nginx版本为1.14.0。安装需要包apt-get install -y apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++
发布时间:2020-10-22 10:59 | 阅读:17707 | 评论:0 | 标签:WAF

原创 | 安全狗绕waf、编写sqlmap tamper脚本

收录于话题 点击上方蓝字 关注我吧准备工作安全狗官网:http://free.safedog.cn/install_desc_website.html环境:Windows7+phpstudy+sqli-labs+安全狗v4.0安装的时候最后让填系统服务,cd到phpstudy的apache2/bin目录,cmd执行:httpd.exe -k install -n apache然后服务名填写apache就行了。
发布时间:2020-10-20 19:52 | 阅读:39137 | 评论:0 | 标签:安全狗 WAF SQL 安全

渗透测试之浅析WAF绕过

收录于话题 原创作者:TrueBW,作者博客:https://blog.csdn.net/weixin_39190897前言WAF 是什么?全称 Web Application Firewall (WEB 应用防护系统),与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。WAF是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种网络安全产品。WAF可以增大攻击者的攻击难度和攻击成本,但是不是100%安全的。目前市场上的WAF主要有以下几类:基于硬件WAF:绿盟WAF;基于软件WAF:以安全狗为代表;部署在云端的WAF:百度加速乐、安全宝等。
发布时间:2020-10-16 08:01 | 阅读:40293 | 评论:0 | 标签:WAF 渗透

干不过阿里云盾,我还干不过长亭WAF?

收录于话题 安全泰式柑汁 Author 瓦都尅 安全泰式柑汁 记录、分享自己的一些安全知识和心得 下班路上偶然间看到这篇文章文章记录了一个完整xss的绕过思路及流程针不戳,文章写得真不戳~美中不足的就是长亭xss waf太弱了(doge)顺带问一句,有人绕过了阿里云盾的xss防御了吗?(在阿里云盾面前我就是个凑弟弟)前言某次业务上线常规安全测试,有记录操作的功能,猜测存在存储型XSS漏洞,但由于存在长亭WAF被拦截。遂将之前总结的XSS绕过手段逐一测试了下。
发布时间:2020-10-14 20:04 | 阅读:30951 | 评论:0 | 标签:WAF

长亭WAF XSS防护绕过小记

收录于话题 #XSS 1 #WAF绕过 1 前言某次业务上线常规安全测试,有记录操作的功能,猜测存在存储型XSS漏洞,但由于存在长亭WAF被拦截。遂将之前总结的XSS绕过手段逐一测试了下。
发布时间:2020-10-13 20:39 | 阅读:36202 | 评论:0 | 标签:xss WAF 防护

某系统绕过waf拿下webshell

收录于话题 前言对于一个不怎么拿站的我来说搞一次站点确实费劲。前不久拿了一个站点。分享一下粗略过程。正文小伙伴所在的地方要让搞某系统测试,发到群里让看看。我看了一波貌似没有什么洞洞这让我,想起三年前的某系统的算算术的漏洞于是,想搞一份源代码研究一下这个算算术的这个东东于是操起神器在fofa上找到一个站的可以算算术接下来掏出exp就开始怼。结果显示如下。连接被重置了想到的是某x云。结果查了一波ip不是。另外我的ip没有被ban。那就是另外的waf。那还好post怼一下get怼一下我猜测可能是对关键字进行拦截结果证实了我的猜想那么我们怎么办呢。
发布时间:2020-10-11 09:36 | 阅读:17425 | 评论:0 | 标签:WAF shell

Waf绕过小技巧之狗头铡侍候

收录于话题 Waf绕过小技巧之狗头铡侍候         我是早上渗透测试、晚上健身教练、凌晨小区保安的铁人三项看到这类waf,你们就会慌。但是,我不会,我拿到手上就会绕。
发布时间:2020-10-10 15:37 | 阅读:25477 | 评论:0 | 标签:WAF

干货 | 常见WAF拦截页面总结

收录于话题 潇湘信安 Author 3had0w 潇湘信安 一个不会编程、挖SRC、代码审计、渗透测试的业余网络安全人员,该公众号主要用于分享个人学习笔记、安全
发布时间:2020-10-10 13:03 | 阅读:14408 | 评论:0 | 标签:WAF

看图识WAF-常见WAF拦截页面

收录于话题 潇湘信安 Author 3had0w 潇湘信安 一个不会编程、挖SRC、代码审计、渗透测试的业余网络安全人员,该公众号主要用于分享个人学习笔记、安全经验以及疑难杂症等! 声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
发布时间:2020-10-10 13:03 | 阅读:12889 | 评论:0 | 标签:WAF

渗透中常见WAF拦截页面整理总结

收录于话题 潇湘信安 Author 3had0w 潇湘信安 一个不会编程、挖SRC、代码审计、渗透测试的业余网络安全人员,该公众号主要用于分享个人学习笔记、安全经验以及疑难杂症等! 声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
发布时间:2020-10-10 13:03 | 阅读:22149 | 评论:0 | 标签:WAF 渗透

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云