随笔分类 - WAF攻防
摘要:分块传输绕WAF的奥秘 一个Http请求的流程 当客户端发起请求后,首先会先建立一个TCP连接,然后再开始传输HTTP数据,然后服务端开始进行接收。但有个问题是,服务端是怎么知道什么时候停止接收,并断开连接的呢? 一般情况HTTP请求包的Header包含Content-Length域来指明报文体的长
阅读全文
摘要:从WAF攻防角度重看sql注入 攻防都是在对抗中逐步提升的,所以如果想攻,且攻得明白,就必须对防有深刻的了解 sql注入的大体流程 Fuzz测试找到注入点 对注入点进行过滤检测,及WAF绕过 构建payload,对数据库进行脱裤,甚至getshell sql注入流程分析 sql注入,最初没有防护的时
阅读全文
