今天看啥  ›  专栏  ›  黑白之道

实战|攻防中如何利用 WAF 缺陷进行绕过

黑白之道  · 公众号  · 互联网安全  · 2024-10-01 09:20

文章预览

作者:奇安信攻防社区(中铁13层打工人) 来源:https://forum.butian.net/share/3639 如侵权请联系stonefor345删除。 1 ► 利用WAF的缺陷绕过 一、利用waf性能缺陷 1.1 利用waf性能缺陷-垃圾字符填充 对于通用性较强的软WAF来说,不得不考虑到各种机器和系统的性能,故对于一些超大数据包、超长数据可能会跳过不检测 因此可以填充大量垃圾字符来逃避waf对数据包的检测如下 1.2 利用waf性能缺陷-发送大量请求包 可以采取高并发的攻击手段,waf同样出于性能考虑可能会直接放行部分数据包。 二、利用waf适配组件的缺陷 由于后端web容器、中间件、数据库、脚本语言的多样性,waf很难覆盖全,容易导致waf解析不了而后端可以正常解析读取导致的绕过 2.1 IIS+asp 在IIS+ASP的环境中,如果url中出现了百分号,但后面邻接的字符拼起来后又不在url编码表之内的话,ASP脚本处 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览