摘要:
默认安全狗网站防护模块中,将XSS漏洞攻击拦截全部处于开启状态 选择漏洞平台pikachu,使用XSS模块 正常的,输入一段XSS代码(aaa'"><script>alert("222")</script>)后,会被WAF拦截 WAF检测机制默认的将诸如:alert、prompt、comfirm等弹 阅读全文
摘要:
网站安全狗(WAF)文件上传限制在网站防护模块下的漏洞防护子模块 在以上名单出现的文件类型在上传时都会被WAF拦截,但不是所有的文件类型默认都加入了检测规则,比如图片文件(.jpg),因为涉及到用户上传文件操作,在测试截断,可以手动将要限制的文件类型加入检测机制 设置后,图片上传就会被WAF限制 访 阅读全文
摘要:
1.内联注释绕过 在mysql的语法中,有三种注释方法:--和#(单行注释)和/* */(多行注释)如果在/*后加惊叹号!意为/* */里的语句将被执行1' and /*!1*/=/*!1*/ # 在mysql中 /*! ....*/ 不是注释,mysql为了保持兼容,它把一些特有的仅在mysql上 阅读全文
摘要:
1.云WAF绕过,需要在请求包中伪造头部信息,具体可理解为伪造IP地址,使WAF安全机制误认为是本地访问(127.0.0.1),借助BurpSuite工具来实现 2.首先在BurpSuite中安装BypassWAF插件 2.1将.jar扩展插件安装在BurpSuite中的插件扩展模块 2.2配置By 阅读全文
摘要:
1.IP黑白名单 安全狗提供了IP黑白名单过滤规则,可添加不受安全狗限制的IP地址,也可以将IP添加至黑名单,限制访问 为白名单添加规则 在作用范围内,设置此白名单IP能够对网站进行的操作,如果IP在黑名单中,这些规则默认全部不允许, 爬虫白名单规则,如果网站想被搜索引擎爬取到,在爬虫白名单里面,要 阅读全文
摘要:
WAF(Web Application Firewalld):web应用防火墙 WAF的分类:1.硬件WAF:绿盟、安恒、启明、创宇等等 2.软件WAF:安全狗、云锁、中间件自带的WAF模块 3.云WAF:阿里云、安全狗、创宇、安恒等等 WAF常用功能: 1.网马木马主动防御及查杀 2.流量监控 3 阅读全文