ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP

  • 基于Nginx的Waf开源模块Naxsi:安装及验证2020-11-27 18:31:27

    目标:在Nginx中成功安装Naxsi模块并验证防护策略是否生效 准备环境:宿主机-Windows10系统、虚拟机-Ubantu(通过win10应用商店安装)、Nginx(在Ubantu中)、Chrome(在win10中) 目录 1.查看当前的Nginx版本及相关文件目录 2.下载Naxsi、Nginx源代码、编译Nginx并替换Nginx可执行文件 3.新

  • 看图识WAF——搜集常见WAF拦截页面2020-10-11 21:35:03

    本文转载自微信公众号:潇湘信安。已获得原作者授权,转载请注明出处 原文链接:https://mp.weixin.qq.com/s/3uUZKryCufQ_HcuMc8ZgQQ 前言 去年年底看到@madcoding老哥博客的“waf的识别与绕过”一文中搜集了不少WAF拦截页面,正好我平时也有搜集WAF拦截页面的习惯,所以结合他的一起整理

  • SQL注入WAF绕过2020-09-20 10:32:57

    SQL注入WAF绕过 (1)大小写绕过 此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤只过滤其中一种。 (2)替换关键字 这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union这些关键字如果只匹配一次就很容易绕过 http://www.xx.com/in

  • CDN、WAF、DOS\DDOS2020-09-14 16:04:09

    一、CDN 1、定义 全称:内容分发网络 基本原理:CDN的基本原理是广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络中,在用户访问网站时,利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上,由缓存服务器直接响应用户请求。     2、工作原理

  • hex编码绕waf(思路)2020-09-12 20:00:21

    mysql分割函数有:substr、substring、left   当union、空格、and、or、注释、substr被过滤的时候如下    可尝试用编码进行绕过,如URLEncode编码,ASCII,HEX,unicode编码绕过,上面代码没有过滤left,可以用left加上hex进行绕过 这里通过测试语句判断出是数字型注入     错误则不显

  • 【AWS征文】AWS安全加固-Fortinet AWS 安全解决方案2020-09-03 16:50:42

    作者:昱坤 在公有云方案日益火爆的今天,公有云应用越来越广泛。随之而来的,公有云也遇到了一些挑战:  传统数据中心产品不一定支持云环境 传统的产品不一定支持云弹性的部署以及模块化的部署 云架构的部署思路与传统物理环境部署环境完全不同 传统的安全防护很难在多云环境提供

  • sqlmap从入门到精通-第七章-7-9 绕过WAF脚本-escapequotes.py2020-08-17 10:34:37

    18. halfversionedmorekeywords.py脚本 在每个关键字之前都加上Mysql注释,用于过滤了关键字的情况,这个适用于Mysql数据库<5.1版本 实战演示: 测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="halfversionedmorekeywords.py" --proxy="http://127.0.

  • NS3 利用Gnuplot生成拥塞窗口例子fifth.cc的png图像2020-08-10 14:31:16

    参考链接:一个ns-3的Gnuplot例子 命令: (1)首先将fifth.cc拷贝到scratch目录下(由于环境变量的因素,./waf编译只对scratch目录下的文件有效,也可以忽略此步,直接./waf --run .../.../examples/tutorials/fifth) cp /home/wasdns/Documents/NS3/ns-3.17/examples/tutorial/fifth.cc /

  • Kali工具正式篇 (第二章-4) 信息收集之CMS指纹识别2020-06-23 09:39:37

    目录: 一、指纹识别 二、WAF 三、CDN 一:指纹识别 Q:什么是CMS和指纹识别? A:快速搭建网站的内容管理系统,快速二次开发的Web应用框架,例如网站、小程序。 Q:指纹的特性是什么? A:1.唯一性 2.终身不变性 3.方便性 Q:在线和离线的方式收集指纹信息有哪些? A:1、云悉在线: http://www.yunsee

  • waf绕过注入2020-05-22 18:05:24

    WAF(Web Application Firewall),俗称web应用防火墙,主要的目的实际上是用来过滤不正常或者恶意请求包,以及为服务器打上临时补丁的作用。 1、云waf:   在配置云waf是(通常是CDN包含的waf),dns需要解析到cdn的ip上去,在请求uri时,数据包就会先经过云waf进行检测,如果通过再将数据包流给主机

  • burp插件大全 漏洞扫描 waf绕过 sql XSS 命令注入 fuzzer2020-05-21 23:06:00

    burp插件目录:   Scanners-扫描类 Custom Features-自定义功能类 Beautifiers and Decoders-美化和解码相关 Cloud Security-云安全,主要是AWS这类真云 Scripting-脚本相关 OAuth and SSO-开放授权(OAuth)和单点登录(SSO)相关安全检测插件 Information Gathering-信息收集 Vulne

  • 云锁最新版SQL注入WAF绕过2020-04-22 10:01:08

    作者:ghtwf01@星盟安全团队 前言 这里使用sqli-labs第一关字符型注入来测试 绕过and 1=1 直接使用and 1=1肯定会被拦截使用%26%26即可代替and绕过,1=1可以用True表示,1=2可以用False表示 绕过order by 直接使用order by被拦截使用order/*!60000ghtwf01*/by绕过 绕过union select 和or

  • 一道简单的SQL注入题2020-04-21 22:02:21

    这是我真正意义上来说做的第一道SQL题目,感觉从这个题目里还是能学到好多东西的,这里记录一下这个题目的writeup和在其中学到的东西 link:https://www.ichunqiu.com/battalion Web分类下的SQL 尝试SQL注入 进入这个模拟环境之后,会得到一个提示为flag在数据库中,这时候查看url栏可以

  • 公开课基础演练靶场-尤里的复仇Ⅰ 小芳!-第二章:遇到阻难!绕过WAF过滤!2020-04-21 18:09:06

    1.打开靶场,随便点击一个页面,带参数,猜想sql注入,单引号判断,弹出警告       2.看提示,and也不能用了,先用order by暴字段数,order by 10返回正常,order by 11报错,有10个字段数     3.union select也不能用,猜想是cookie注入,把参数id=169去掉后访问,报错       4.地址栏输入 javascr

  • php一句话木马变形技巧2020-04-02 21:03:40

    一、什么是一句话木马? 一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。 二、我们如何发送命令,发送的命令如何执行? 我们可以通过 GET、POST、COOKIE

  • Graylog2进阶 打造基于Nginx日志的Web入侵检测分析系统2020-03-18 20:02:03

    对于大多数互联网公司,基于日志分析的WEB入侵检测分析是不可或缺的。 那么今天我就给大家讲一讲如何用graylog的extractor来实现这一功能。 首先要找一些能够识别的带有攻击行为的关键字作为匹配的规则。 由于我不是专门搞安全的,所以在网上找了一些软waf的规则脚本。 剩下来的工作

  • 如何打造一款优秀的waf产品(4)2020-03-15 12:41:50

    waf核心优化功能点 对于网络设备来说管理是一个重要的部分,尤其对于安全设备来说,因为业务 需要的不停变化需要对设备不停的进行设置。 从这个角度来说,WAF的管理模块必须满足策略更新的需求,同时管理模块的设计和实现上需要格外小心, 保证不会影响吞吐量和可用性。 下面是关系 到WA

  • sql bypass waf fuzz python2020-03-15 09:56:04

    从freebuf copy过来的,先保存,有空再改 #encoding=utf-8 import requests url = "http://127.0.0.1/index.php?id=1" Fuzz_a = ['/*!','*/','/**/','/','?','~','!','.','%',&#

  • 网络协议研究的工具2020-03-13 20:53:11

    本文在Creative Commons协议下发布。 研究网络协议,需要做网络协议仿真,然后就接触到了ns3和wireshark。 好吧,言归正传,下面开始介绍NS3的相关知识。1 ns3简介1.1 ns3的定义说明ns3是一款离散事件驱动的网络仿真器,主要应用于研究和教育领域,旨在满足学术和教学的需求。ns3项目是一个

  • sql-lib闯关之lesson25-25a2020-03-04 20:04:50

    LESS25知识铺垫WAF绕过1.白盒绕过 通过源代码分析,来进行绕过。2.黑盒绕过①架构层面绕过waf②资源限制角度绕过waf③协议层面绕过waf④规则层面绕过waf3.fuzz测试具体可以自行百度了解。1.观察源码以及关卡显示,我们发现将 or and(不区分大小写) 转义变成了空格。        2.方法

  • ShareWAF,已适合建立大型私有云WAF、适合集群部署。2020-03-04 10:00:24

    ShareWAFv2.03起,开始支持远程配置文件存储。什么意思呢?之前的版本中,ShareWAF配置信息从本地读取,比如:被保护的网站、个性化的配置等等,是存储于本地。如果是做为软件WAF,或是小型私有云WAF。是没有问题的。但如果搭建大型云WAF、集群化部署,是有所不便的,因为要在多台机器上部署ShareWAF

  • 黑客防御!企业为何应考虑基于云的托管WAF保护2020-02-28 22:05:45

    根据国际互联网安全数据中心的预测,到2020年,数据泄露的损失可能超过1.5亿美元。随着数据泄露和网络攻击成本的上升,网络安全已成为董事会讨论的空前规模。在这个互联互通的在线世界中,Web应用程序安全性是任何公司整体网络安全性的基石。 在应用程序安全方面,基于Web应用程序防火墙(WA

  • Azure安全系列(3)-Application Gateway 中的 Web应用防火墙2020-02-24 21:57:22

    Azure安全系列(3)-Application Gateway 中的 Web应用防火墙Web 应用程序防火墙 ( Web Application Firewall, 通常简称 WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Azure Application Gateway 中有 WAF功能,关于Application Gateway的内容,请参见

  • Azure安全系列(3)-Application Gateway 中的 Web应用防火墙2020-02-24 21:06:18

      Web 应用程序防火墙 ( Web Application Firewall, 通常简称 WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 Azure Application Gateway 中有 WAF功能,关于Application Gateway的内容,请参见《Azure Application Gateway-专为web设计的7层负

  • Azure安全系列(3)-Application Gateway 中的 Web应用防火墙2020-02-24 21:01:43

      Web 应用程序防火墙 ( Web Application Firewall, 通常简称 WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 Azure Application Gateway 中有 WAF功能,关于Application Gateway的内容,请参见《Azure Application Gateway-专为web设计的7

首页 < 3 4 5 6 7 > 尾页
关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有