关于WAF
定义
Web应用防火墙(Web Applocation Firewall)
通过一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品
分类
- 软件型
- 硬件型
- 云WAF(反向代理 ,类似于带防护功能的CDN)
- 网站系统内置的WAF
WAF 的判断
1.sqlmap
1 | sqlmap.py -u "https://baidu.com --identify-waf --batch" |
2.手工判断
1 | ?test=1 union select 1,2,3%23 |
选取不存在的参数,如果被拦截:
- 页面无法访问
- 响应码不同
- 返回与正常请求网页不同时的结果
WAF by pass
参考我的另一篇博客
另外加几个技巧
- 多参数请求拆分
- HTTP参数污染(同一参数出现多次,不同的中间件解析为不同的结果)
- 使用生僻函数
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 h4m5t's Blog!