标签 waf 下的文章

脚本名:0x2char.py作用:用UTF-8全角对应字符替换撇号字符作用:用等价的CONCAT(CHAR(),...)对应替换每个(MySQL)0x <hex>编码的字符串测试对象:MySQL 4,5.0和5.5>>> tamper('SELECT 0xdeadbeef') 'SELECT CONCAT(CHAR(222),CHAR(173),.......

0x00 一、背景:1、持续连接的问题:对于非持续连接,浏览器可以通过连接是否关闭来界定请求或响应实体的边界;而对于持续连接,这种方法显然不奏效。有时,尽管我已经发送完所有数据,但浏览器并不知道这一点,它无法得知这个打开的连接上是否还会有新数据进来,只能傻傻地等了。2、用Content-length解决:计算实体长度,并通过头部告诉对方。浏览器可以通过 Content-Length .......

0x00 WAF的常见特征之所以要谈到WAF的常见特征是为了更好的了解WAF的运行机制这样就能增加几分绕过的机会了。本文不对WAF做详细介绍只谈及几点相关的。总体来说WAF(Web Application Firewall)的具有以下四个方面的功能1. 审计设备用来截获所有HTTP数据或者仅仅满足某些规则的会话 2. 访问控制设备用来控制对Web应用的访问既包括主动安全模式也包括被.......