WAF绕过技术(PKAV团队)
创始人
2024-11-11 18:37:56

目录

主流WAF的绕过技术

Web容器的特性

1. IIS+ASP的神奇%

2. IIS的Unicode编码字符

3. HPP(HTTP Parameter Pollution): HTTP参数污染

4. 畸形HTTP请求

Web应用层的问题

1. 多重编码问题

2.多数据来源的问题

WAF自身的问题

1. 白名单机制

2. 数据获取方式存在缺陷

3. 数据处理不恰当

1、%00截断

2、&字符处理

4. 数据清洗不恰当

5. 规则通用性问题

6. 为性能和业务妥协

实例讲解WAF绕过的思路和方法

一、数据提取方式存在缺陷,导致WAF被绕过

二、数据清洗方式不正确,导致WAF被绕过

三、规则通用性问题,导致WAF被绕过

WAF对上传的检测和处理

一、为性能和业务妥协

二、数据获取方式存在缺陷

脚本木马查杀工具的缺陷

主流WAF的绕过技术

攻击者可利用哪些方面来绕过WAF
  1. Web容器的特性
  2. Web应用层的问题
  3. WAF自身的问题(本次LIVE重点)

上一篇:大数据信用查询什么样的平台比较靠谱?

下一篇:C# 方法的定义

相关内容

热门资讯

裸辞做“一人公司”,我后悔了 去年这个时候,一位以色列程序员正在东南亚旅行。他顺手把一个在脑子里转了很久的想法做成了产品,一个让任...
南京建成国内首个Pre-6G试... 4月21日,2026全球6G技术与产业生态大会在南京开幕。全息互动技术展台前,一名远在北京的工作人员...
超梵求职受邀参加“2025抖音... 超梵求职受邀参加“2025抖音巨量引擎成人教育行业生态大会”,探讨分享优质内容传播,服务万千学员。 ...
摩托罗拉Razr 2026(R... IT之家 4 月 22 日消息,摩托罗拉宣布新一代 Razr 折叠手机将于 4 月 29 日在美国发...
库克卸任,特纳斯领航:苹果新纪... 苹果首席执行官蒂姆·库克将卸任,硬件工程主管约翰·特纳斯将接任,苹果公司今天宣布此事。 库克将在夏季...