前期事件回顾:实战 | 记一次授权网络攻防演练(上)建立据点真是麻烦,整了这么久,才获得一个可用的上传功能而已,还不一定能上传 webshell,走一步看一步。在我看来,任意文件上传攻击应关注四个要素...
03月13日26 views评论代码
文件
实战 | 记一次授权网络攻防演练,场面刺激了(下)
03月13日26 views评论代码
文件
03月13日26 views评论代码
文件
实战 | 一次没有逗号的MSSQL注入
作者:broken5 原文地址:见阅读原文0x01 前言之前遇到过遇到过类似的注入,因为某种原因在注入语句中不能存在逗号,环境又是MSSQL,所以很难构造出来有效的payload...
03月06日11 views实战 | 一次没有逗号的MSSQL注入已关闭评论payload
waf
【渗透测试实战】--waf绕过--打狗棒法
目录0x01 前言 环境的搭建:0x02 HTTP补充: 分块传输的介绍: 请求头Transfer-encoding: HTTP持久化连接: Content-Type介绍:waf绕过的思路: 例如:绕...
03月03日37 views评论http
waf
一次失败的SQL注入经历
目录一次失败的SQL注入经历0x00 前言0x01 WAF识别0x02 篇章: Bypassed 0x2.1 漏洞证明 0x2.2 无限制注入0x03 后续:无疾而终0x04 总结某天,聚合扫描器推送...
03月01日15 views评论waf
漏洞
安全攻防 | 常见网站逻辑漏洞checklist
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。文章来源:Wangfl...
02月23日35 views评论waf
网站
高效的黑盒探测SQL注入
https://github.com/smxiazi/xia_sql先推崇一下这个burp插件,其思路和我手工探测SQL注入的原理非常一致。在这个遍地是waf,动不动封你ip的情况下,利用传统爬虫或者...
02月22日17 views评论id
waf
从HTTP协议层面探讨Bypass
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
02月17日13 views评论http
数据包
Black Hat USA:Log4j去混淆器Ox4Shell“显着”减少了分析时间
在Black Hat USA上展示了一个Log4Shell去混淆工具,该工具承诺简单、快速的有效负载分析,而不会出现“严重副作用”的风险。AppSec测试平台Oxeye的Daniel Abeles和R...
02月16日27 views评论shell
工具
Web应用安全防护的十大误区
随着企业数字化转型的深入,越来越多的业务应用系统被部署到互联网平台上,这吸引了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁开始凸显。通过利用网站系统和Web服务程序的安全漏洞,攻击者可以...
02月15日14 views评论https
攻击者
API安全性:不能只是下一代WAF上的附加组件
WAAP(Web应用和API保护平台)是带着“下一代WAF”光环出道的,旨在超越传统WAF基于签名的攻击防护方式,并为用户提供额外的API保护功能。从本质上看,WAAP是一种更高级的WAF方案。那么,...
02月14日8 views评论api
攻击者
2023年WAF技术应用的五个趋势
随着网络攻击的演进,Web应用防火墙(WAF)的应用也在发生变化。企业组织部署WAF不仅要对网站进行保护,还要对逐渐普及的Kubernetes、微服务、API和无服务器部署等新兴应用进行保障和支撑。W...
02月10日17 views评论api
waf