waf

cover

2000亿！单日检测流量，长亭WAF花式演绎

WAF怎么解这道大流量检测难题？来看长亭的三大实践。

长亭科技
2023-02-27 14:31:40

199218次阅读

cover

OpenRASP xss算法的几种绕过方法

openrasp默认只能检测反射型XSS，存储型XSS仅IAST商业版支持。对于反射型xss，openrasp也只能检测可控输出点在html标签外的情况，本文的绕过方法是针对这种情况。如果可控输出点在html标签内，如<input type="text" value="$input">或<script>...</script> 内部，openrasp几乎检测不到。

mattF123
2021-07-21 14:30:43

236702次阅读 1

cover

从RFC规范看如何绕过waf上传表单下篇

multipart/form-data

本文主要讨论，利用waf和后端程序对multipart/form-data的解析差异，造成对waf的bypass。

360云安全
2021-05-29 10:00:05

404170次阅读

cover

从RFC规范看如何绕过waf上传表单上篇

multipart/form-data

本文主要讨论，利用waf和后端程序对multipart/form-data的解析差异，造成对waf的bypass。

360云安全
2021-05-20 10:00:53

485930次阅读 1

cover

数据加密或成WAF失效最大元凶…

手机银行传输业务数据时，会使用一种“端到端”（用户端—服务端）加密的方式，来确保它传输的数据安全。这种为了保障安全的方式，却带来了新的安全问题。

长亭科技
2021-05-18 10:32:06

75967次阅读

cover

从大黑阔的ID谈起，聊聊这古老的绕过技巧

大黑阔们用的id都会用一些形似而意非的字符代替原字符，虽然字符奇奇怪怪，但是我们依然能够读懂这些id代表的什么意思。

阿信
2020-07-22 15:30:47

414325次阅读 5

cover

WAF Bypass之webshell上传jsp与tomcat

事情是这样的，某一天，笔者闲着无聊，对着Tomcat的示例文件到处点点，希望寻找出点什么。

turn1tup
2020-07-15 14:30:53

458188次阅读 5

cover

WAF Bypass之xerces解析

JAVA的XML解析，底层用的是xerces，而xml本身的特性及xerces的一些特性，可以用来造成WAF与后台代码的解析不一致。

turn1tup
2020-07-06 15:30:25

296627次阅读 1

cover

Bypass MySQL Safedog

跟团队小伙伴一起日狗。

Y4er
2019-10-18 14:30:30

885749次阅读 4

cover

如何利用服务器源IP绕过Cloudflare WAF

Cloudflare是广泛使用的一款Web应用防火墙（WAF）服务商，如果我们可以在一秒内绕过这类防护，使防守方功亏一篑，那显然是非常有趣的一件事。在本文中，我们将介绍如何使用源服务器IP地址绕过Cloudflare WAF。

興趣使然的小胃
2019-08-02 10:30:01

582920次阅读 3