WAF的正确bypass
本文是i春秋原创奖励计划的一部分,未经许可,禁止其他网络推广网站进行转载。半年前,我掌握了许多WAF的绕过技巧,现在我想把这些思路分享给大家。很多人遇到WAF可能会感到困扰,但今天我将为大家分享一些实用的技巧。
让我们建立一个测试环境。我使用的是phpStudy来进行PHP测试,同时也在各种WAF的官网进行实际测试。测试的主要思路是检测SQL语句在本地环境中是否可以执行,以及在WAF官网是否会被拦截。
要绕过WAF,我们需要了解以下几点重点:
1. HTTP数据包的认识。
2. 充分利用数据库的注释功能。
3. 理解WAF的构造思路。
接下来,我将介绍一些测试代码,特别是关于GET型注入的测试。我们有一个存在注入漏洞的本地PHP代码。在此基础上,我们将测试普通的GET型注入以及通过POST提交的GET型注入。测试结果将展示如何通过伪造HTTP数据包来进行绕过。
例如,在360主机卫士的之前版本中,POST提交只会拦截POST的数据。这意味着我们可以通过利用POST数据包进行GET注入来绕过其拦截。同样地,在其他WAF系统中,我们也可以通过合理构造HTTP数据包来进行绕过。在http数据包中,每个参数之间使用&符号连接。我们可以利用这个符号来绕过WAF的拦截。通过本地测试,我们发现即使参数被/符号包围,也能被正常接收,并未被注释掉。这是因为/被HTTP视为参数的值,而不是注释符号。有时我们可以利用这个方法来结合其他技巧进行绕过。
在挖掘WAF的绕过方法时,我们需要从多个角度入手,包括编码、协议、语句等。甚至有时需要利用系统的截断来进行绕过。绕过WAF需要综合运用各种技巧和方法,需要根据具体情况灵活应对。
我想提醒大家,在使用这些技巧时请务必遵守法律法规和道德准则,不要将其用于非法用途。也希望这些分享能对大家有所帮助,让我们共同学习进步。我强烈推荐大家购买一本关于HTTP协议的书籍进行阅读。了解HTTP协议,不仅是学习网络技术的必经之路,更是对编程有深入了解的必经之路。HTTP协议是互联网的基础,只有深入了解它,才能更好地掌握网络技术。想要在互联网领域有所建树的人,一定不能忽视HTTP协议的学习。
对于有一定编程基础的读者,您可以尝试思考一下Web应用防火墙(WAF)的编写方式。WAF在现代网络安全中扮演着重要的角色,然而它也存在一些潜在的漏洞。了解这些漏洞并学会如何防范它们,是每一个程序员都应该掌握的技能。例如,我们常常使用截断文件的技巧,如使用"%00",在某些情况下可以在安全狗中绕过HTTP协议检测。同样的,像菜刀等工具在绕过安全狗检测时,通过特定的编码方式,如"EVAL%00()",也能够实现不被拦截的效果。这些都是在实际编程过程中可能遇到的挑战和机遇。
我们不能仅仅依赖别人的经验和技巧。真正的知识和智慧是需要我们自己去、去实践、去积累的。只有自己真正掌握了知识和技能,才能在面对挑战时游刃有余。建议大家在学习编程、学习网络安全的过程中,不仅要学习别人的经验,更要学会独立思考,发掘自己的潜力。只有这样,我们才能在互联网领域走得更远,走得更好。
HTTP协议的学习是每个程序员必不可少的部分。我们也要学会独立思考,发掘自己的潜力,不要局限于别人的经验和技巧。希望大家能够在互联网领域不断成长,不断进步!
编程语言
- WAF的正确bypass
- vue.js+Echarts开发图表放大缩小功能实例
- javascript中神奇的 Date对象小结
- php自定义的格式化时间示例代码
- jQuery实现弹窗下底部页面禁止滑动效果
- VS2012下QT creator登录对话框设计
- ES6下React组件的写法示例代码
- PHP实现懒加载的方法
- ASP中只有UrlEncode,没有Urldecode问题的解决方法?
- javascript实现类似百度分享功能的方法
- Yii2框架视图(View)操作及Layout的使用方法分析
- asp.net core webapi文件上传功能的实现
- AngularJS指令与控制器之间的交互功能示例
- php中Y2K38的漏洞解决方法实例分析
- gb2312的详细介绍
- Bootstrap每天必学之弹出框(Popover)插件