一、修改提交方式绕过
1、通过GET请求,发现and 1=1被拦截
2、换成POST请求,可以正常访问
二、通过特殊符号拆分
1、查看数据库名称,database()被拦截
2、经测试,database不拦截,()也不拦截,所以我们用/**/拆分,获取数据库名称
禁止非法,后果自负
最简单的WAF绕过方式
2023-02-23
840
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
简介:
最简单的WAF绕过方式
目录
相关文章
|
存储
安全
网络协议
|
5月前
|
安全
PHP
数据安全/隐私保护
|
6月前
|
数据库
|
6月前
|
安全
|
SQL
安全
网络安全
|
安全
|
数据采集
安全
数据库
|
安全
网络安全
|
程序员
Shell
测试技术
|
SQL
安全
数据库
sqli笔记-基于错误的SQL注入与WAF绕过
正文
测试的是登陆功能,此功能会向数据库发送查询的请求,这里我们仔细来看一下,获取我的数据并通过 POST 请求发送。
工具使用的是Burp Suite,这里拦截了请求并将其发送到repeater:
312
0
0
