本文介绍的思路主要围绕针对于 POST 参数的 multipart/form-data 进行讨论。multipart/form-data 是为了解决上传文件场景下文件内容...
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
©网络研究院安全研究人员开发了一种通用的 SQL 注入技术,可以绕过多个 Web 应用程序防火墙 (WAF)。问题的核心是 WAF 供应商未能在 SQL 语句中添加对 JSON 的支持,从而使潜在的攻...
关于机器人攻击的 7 个神话和误解
尽管机器人攻击比以往任何时候都更加普遍,但围绕它们存在一些未经证实的神话。 通过了解这些误区,您将能够更好地保护您的网站免受潜在损害并让您的客户满意。以下是七个最常见的机器人神话及其真相。防...
三进三出 | 渗透实战
写了一个多月的各种方案,终于抽个空可以做点技术活了测试一个单位,其中一个官网,点进去一看,质朴中透露着一股有问题的气息,看了一下架构:IIS+PHP,美妙的组合。迅速定位到了一个点可能存在注入,但是,...
Web应用程序waf指纹识别工具wafw00f的安装及使用
0x00 原理: 发送正常的 HTTP请求并分析响应;这确定了许多WAF解决方案。如果不成功,则发送多个(可能是恶意的)HTTP请求,并使用简单的逻辑来取代它是其中WAF。如果还是不成功,则...
证书站Bypass | Rsa加密
年底了,事多,又要准备打攻防,又要冲Src排名,似乎毕业了更忙了,更卷了...某天,某Src上架了某证书,大多数人没挖下来,都说有知道创宇的waf,难求一洞,,但有waf关我弱口令领头羊什...
Bypass Rsa加密 统一认证逻辑缺陷
年底了,事多,又要准备打攻防,又要冲Src排名,似乎毕业了更忙了,更卷了...某天,某Src上架了某证书,大多数人没挖下来,都说有知道创宇的waf,难求一洞,,但有waf关我弱口令领头羊什...
常见网站漏洞checklist
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。文章来源:Wangfly博客原文地址:https://...
xwaf – 自动绕过waf工具
[!] 法律免责声明:未经事先相互同意,使用本程序攻击目标是非法的。使用本程序的最终用户有责任遵守所有适用的地方、国家法律。开发人员对本程序造成的任何误用、滥用、非法使用不承担任何责任。xwafxwa...
Gartner发布WAAP魔力象限:WAF+API+云服务
Gartner WAAP定义WAAP(Web Application and API Protection):Web 应用程序和 API 保护平台 (WAAP) 缓解了广泛的运行时攻击,尤其是针对We...
十几年如一日地维护一款免费安全软件是什么感受 —— D盾防火墙
大家还记得啊D吗 —— 当年啊D的注入工具可是盛行一时,实在是渗透测试自学教学必备工具。来一张图怀念一下逝去的时光:啊D是圈内元老、资深安全专家、啊D系列工具作者,据情报显示这些年他一直隐居在深圳坪山...
API安全应用场景系列开篇
开 篇 imperva.com/zh本周开始我们希望后面每周分享一篇关于API安全应用场景的文章。为什么会有这个系列?数字化转型推动API的广泛使用在我们早期发布的博文中已经分享...
35