摘要：原文 by 破-见 绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分，也是最有趣的部分，所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”，如果连绕过WAF方法都不知道，怎么保证WAF能保护后端服务的安全。在我看来，WAF的绕过技术的研究将不断驱动防御水平提高。 以前一些WAF 阅读全文

摘要：我这里就分为两种吧，一种是基于代码限制的，一种基于防火墙，其实总的来看两者差不多，都是检测文件合法性，但是两者区别开来，在实际应用中信息收集之后对于一个网站的防护措施有了了解后，能够更精准的选择上传绕过方式。 （本篇都使用php一句话木马作为示例） 前端JS限制文件后缀 限制只能上传规定后缀文件，绕 阅读全文

摘要：前言 XSS是Web应用程序中常见的漏洞之一，网站管理员可以通过用户输入过滤、根据上下文转换输出数据、正确使用DOM、强制执行跨源资源共享（CORS）策略以及其他的安全策略来规避XSS漏洞。尽管现在有很多预防XSS攻击的技术，但Web应用程序防火墙（WAF）或自定义数据过滤器是目前使用比较广泛的安全 阅读全文

摘要：十进制值 URL编码 介绍 47 %2F 正斜杠 13 %0D 回车 12 %0C 分页符 10 %0A 换行 9 %09 水平制表符 <svg></p><style><a id="</style><img src=1 onerror=alert(1)> <svg><p><style><a id=" 阅读全文