某教程学习笔记(一):23、WAF绕过

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 某教程学习笔记(一):23、WAF绕过

一、目录扫描绕过WAF


1、dirbuster扫描,默认的UA为:DirBuster-0.12 (http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project)

0a2653c851af460fa595bd959398a8f1.png

2、安全狗会拦截访问请求

0eacb84100b54626af849e6b562bf92a.png

3、将UA修改为百度爬虫的UA: Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html),将不再链接请求

2d65d23f6d4748949b924e4057485923.png

二、手工注入绕过WAF


1、检测是否存在注入

0a2653c851af460fa595bd959398a8f1.png

2、修改检测语句

0eacb84100b54626af849e6b562bf92a.png

3、判断列数

2d65d23f6d4748949b924e4057485923.png

4、联合查询:

2e9b90b2ca334476abebe75bafe6eeaa.png

5、获取数据库:

4cebaac233b3433da32a72337a77fc60.png

三、通过修改提交方式绕过


1、安全狗拦截GET提交方式

0a2653c851af460fa595bd959398a8f1.png

2、修改为post提交,成功绕过

0eacb84100b54626af849e6b562bf92a.png

禁止非法,后果自负


目录
相关文章
|
存储 安全 网络协议
绕过WAF和多个防护软件提权案例
绕过WAF和多个防护软件提权案例
178 0
|
5月前
|
安全 PHP 数据安全/隐私保护
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
|
6月前
|
数据库
最简单的WAF绕过方式
最简单的WAF绕过方式
494 0
|
6月前
|
安全
WAF绕过 -- and判断
WAF绕过 -- and判断
94 0
|
SQL 安全 网络安全
SQL注入-WAF绕过
SQL注入-WAF绕过
|
安全
WAF绕过 -- and判断
WAF绕过 -- and判断
114 0
WAF绕过 -- and判断
|
数据库
最简单的WAF绕过方式
最简单的WAF绕过方式
840 0
最简单的WAF绕过方式
|
程序员 Shell 测试技术
文件上传-PHP异或绕过WAF
文件上传-PHP异或绕过WAF
文件上传-PHP异或绕过WAF
|
SQL 安全 数据库
sqli笔记-基于错误的SQL注入与WAF绕过
正文 测试的是登陆功能,此功能会向数据库发送查询的请求,这里我们仔细来看一下,获取我的数据并通过 POST 请求发送。 工具使用的是Burp Suite,这里拦截了请求并将其发送到repeater:
312 0
sqli笔记-基于错误的SQL注入与WAF绕过