zoukankan      html  css  js  c++  java
  • 私人珍藏:WAF攻防实战笔记

    在WAF防护逐渐盛行的前几年,我曾研究过各种WAF绕过的技巧,也曾突破过各种各样的WAF防护。最近,准备重新梳理下自己的知识体系,于是,我将自己写过的关于WAF攻防相关的文章内容合并到一个文档,并形成一个完整目录。

    这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但更重要的是思路,有一些思路让我至今觉得非常有意思。

    当你掌握了一定的攻防技巧,你就会发现不断的去突破防御、绕过各种限制,会是一件非常有意思的事情。

    如果你按照这份文档里介绍的各种的技巧和思路,依然还没有绕过WAF,那么你需要做的就是,去发现那些尚未被挖掘的特性。

    在攻防的世界里,就是在一直突破,从未有过极限,Hacks For Everything!


     

    文章目录:

    • 序言

    • 第一章:WAF Bypass技巧

      • 第一节:服务器特性

      • 第二节:应用层特性

      • 第三节:WAF 层特性

      • 第四节:数据库特性

        • 第一篇:Mysql数据库特性

        • 第二篇:SQL Server数据库特性

        • 第三篇:Oracle数据库特性

        • 第四篇:Access 数据库特性

    • 第二章:WAF Bypass实战

        • 第一篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)

        • 第二篇:Bypass 360主机卫士SQL注入防御(多姿势)

        • 第三篇:Bypass ngx_lua_waf SQL注入防御(多姿势)

        • 第四篇:Bypass X-WAF SQL注入防御(多姿势)

        • 第五篇:Bypass 护卫神SQL注入防御(多姿势)

        • 番外篇:打破基于OpenResty的WEB安全防护

    • 附录:WAF自动化FUZZ脚本


    PDF文档获取:

    方式1:公众号提供了该项目的PDF版本,关注后回复"WAF攻防" 即可下载。

    方式2:喜欢研究交流的朋友,欢迎加我微信好友,共同探讨技术问题。微信直接找我说明来意获取。

  • 相关阅读:
    Tarjan算法求双连通分量
    Tarjan
    前端技术实现js图片水印
    记录一下ionic canvas图片,还有canvas里面的图片跨域的问题
    ionic cordova screenshot 使用和操作
    关于ionic2 更新到ionic3 后组件不能用的解决方案
    背景图处理,这是个好东西记录一下
    radio样式的写法,单选和多选如何快速的改变默认样式,纯CSS,
    ionic使用cordova插件中的Screenshot截图分享功能
    ionic中执行pop返回上一个页面,还需要执行操作
  • 原文地址:https://www.cnblogs.com/xiaozi/p/12601455.html
Copyright © 2011-2022 走看看