标签：waf

2022-05-20hush阅读(37)赞(0)

一、简介   在对网站进行渗透测试过程中，经常会遇见WAF，从而导致直接封IP，无法上传文件，文件上传漏洞对Web应用来说是一种非常严重的漏洞。   一般情况下，Web应用都会允许用户上传一些文件，如头像、附件等信息，如...

2021-08-24hush阅读(595)赞(0)

1 前言 WAF(Web Application Firewall)对于从事信息安全领域的工作者来说并不陌生，在渗透测试一个目标的时候常常作为拦路虎让人头痛不已，笔者这段时间花了些精力对国内外比较常见的WAF进行了绕过研究，这只拦路虎其实也...

2021-08-23hush阅读(587)赞(0)

Waf分类： WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的；嵌入型指的是web容器模块类型WAF、代码层WAF。 Waf工作模式： 关闭模式：对某个站点使用关闭模式，到这个站点的流量就感受不到...

2021-05-01hush阅读(571)赞(0)

某网站存在一处sql注入漏洞。 第一层 waf 在 id 后面加上 and 1=1，被 waf 拦截 将空格替换为加号 +，即 id=296+and+1=1 不再拦截 再将 id 改为 id=296+and+1=2，新闻详情返回为空，确认存...