版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、WAF Bypass实战系列 讲师:zp,声明,2,目录,3,1、 WAF绕过方法详解,2、Bypass云锁Postgresql数据库注入,1 WAF绕过方法详解,原理续集,4,WAF 绕过角度,5,规则缺陷/特性,架构,协议,HTTP协议兼容性,HTTP Method多样性 大家的常识是GET参数通过URL传递,POST放在Request body中。 但是GET请求中同样可以传输POST数据。如下图,即使更换了HTTP请求方法,仍然完成了数据传递。,6,HTTP协议兼容性,HTTP Body多样性 参数通过表单类型multipart/form-data进行提交 而WAF针对表单检测一般是只
2、针对文件上传、XSS漏洞,导致常规sql注入语句便可以通过该方式进行bypass,达到WAF无法识别,WebServer可以解析的目的。,7,HTTP协议兼容性,HTTP Body多样性 参数通过表单类型multipart/form-data进行提交 而WAF针对表单检测一般是只针对文件上传、XSS漏洞,导致常规sql注入语句便可以通过该方式进行bypass,达到WAF无法识别,WebServer可以解析的目的。,8,2 Bypass云锁Postgresql数据库注入,实战Bypass,9,Postgresql数据库特性,10,select id,contents,time from news where news_id=1unionselect1,2,db_name()fromadmin 位置一 可利用其他控制字符替换空格:%09、%0a、%0c、%0d 可使用其他字符:.、! 位置二 可利用其他控制字符替换空格:%09、%0a、%0c、%0d 位置三 可利用其他控制字符替换空格:%09、%0a、%0c、 %0d 可使用其他字符:.、-、+,Postgresql数据库特性,11,位置四 可利用其他控制字符替换空格: %09、%0a、%0c、%0d 位置五 可利用其他控制字符替换空格:%09、%0a、%0c、%0d 可插入字符:%30-%
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026学年吉林省磐石市六年级数学期末自测模拟历年考试题(附答案)详细答案和解析
- 提高海洋资源利用效率实施方案
- 交通共享经济趋势-洞察与解读
- 精准变量施药-洞察与解读
- 竞争策略演化分析-洞察与解读
- 智能优化算法提升接收器能效-洞察与解读
- 多因素驱动的金属腐蚀机理研究-洞察与解读
- 基于数字双胞胎的虚拟试衣系统设计与用户体验优化-洞察与解读
- 绿色印刷材料研究-洞察与解读
- 双能源系统建模-洞察与解读
- 2026年新汉语水平考试(HSK)五级模拟测试卷及参考答案
- 2026厦门国有资本运营有限责任公司招聘笔试备考试题及答案解析
- 徐州存量房交易合同
- 2026年湖南省衡阳市地理生物会考真题试卷(+答案)
- 2025年昆山市交通工程集团有限公司社会招聘笔试参考题库附带答案详解
- 消防排烟系统检测施工方案
- 山东潍坊市安丘市青云文旅发展集团有限公司招聘笔试题库2026
- 2025年职业技能鉴定考试(家政服务员二级)历年参考题库含答案
- 2025年度安徽省专业技术人员继续教育公需科目试卷及答案
- 2026年安徽高考地理题及参考答案
- 住院患者安全风险评估方案
评论
0/150
提交评论