http://tech.guangdonglong.com

Web应用程序防火墙(WAF)bypass技术(二)

『广东龙网摘要_Web应用程序防火墙(WAF)bypass技术(二)』广东龙网科技频道提示您本文原始标题是:Web应用程序防火墙(WAF)bypass技术(二)...


广东龙网科技频道提示您本文原始标题是:Web应用程序防火墙(WAF)bypass技术(二)

在Web应用程序防火墙(WAF)bypass技术的第一部分中 , 我们已经看到了如何使用通配符(主要是使用问号通配符)绕过WAF规则 。 显然 , 还有很多其他方法可以绕过WAF规则集 , 我认为每次攻击都有其特定的规避技术 。

例如:在SQL注入的payload内使用注释语法可以绕过许多过滤器 。 也就是说 , 不使用union+select , 而是使用 /?id=1+un/**/ion+sel/**/ect+1,2,3– 这类语法 。

这是一项很棒的技术 , 当目标WAF允许星号*和连接字符时 , 就能够起作用 。 报告这应该仅适用于SQL注入 , 不能用于利用本地文件包含或远程命令执行 。 对于某些特定场景 , 对于需要保护Web应用程序免受远程命令执行攻击的WAF来说 , 这是一个“真正的噩梦”…这就是连接字符串 。

推荐