waf

openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如<input type="text" value="$input">或<script>...</script> 内部,openrasp几乎检测不到。
本文主要讨论,利用waf和后端程序对multipart/form-data的解析差异,造成对waf的bypass。
本文主要讨论,利用waf和后端程序对multipart/form-data的解析差异,造成对waf的bypass。
手机银行传输业务数据时,会使用一种“端到端”(用户端—服务端)加密的方式,来确保它传输的数据安全。这种为了保障安全的方式,却带来了新的安全问题。
大黑阔们用的id都会用一些形似而意非的字符代替原字符,虽然字符奇奇怪怪,但是我们依然能够读懂这些id代表的什么意思。
事情是这样的,某一天,笔者闲着无聊,对着Tomcat的示例文件到处点点,希望寻找出点什么。
JAVA的XML解析,底层用的是xerces,而xml本身的特性及xerces的一些特性,可以用来造成WAF与后台代码的解析不一致。
跟团队小伙伴一起日狗。
Cloudflare是广泛使用的一款Web应用防火墙(WAF)服务商,如果我们可以在一秒内绕过这类防护,使防守方功亏一篑,那显然是非常有趣的一件事。在本文中,我们将介绍如何使用源服务器IP地址绕过Cloudflare WAF。
在本文中,我们将与大家分享如何利用PHP字符串解析函数绕过IDS/IPS以及应用防火墙规则。