开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

阻止在启用了WAF的Amazon ALB中托管的webapp上的AJAX Post请求-以防表单数据包含空格字符

在启用了WAF的Amazon ALB中托管的webapp上，如果需要阻止AJAX Post请求中的表单数据包含空格字符，可以采取以下步骤：

配置WAF规则：登录到AWS控制台，找到WAF服务，创建一个新的WebACL（Web应用程序防火墙）规则集。在规则集中，添加一个新的规则，选择适当的规则条件，以匹配AJAX Post请求中的表单数据，并设置条件以阻止包含空格字符的数据。
关联WAF规则：将新创建的WebACL规则集与ALB（应用负载均衡器）关联。在ALB的配置页面中，找到“安全”或“防火墙”选项，选择关联的WebACL规则集。
测试和调试：使用包含空格字符的表单数据进行AJAX Post请求测试。确保请求被WAF规则拦截，并返回适当的错误响应。

推荐的腾讯云相关产品：腾讯云Web应用防火墙（WAF）

概念：腾讯云Web应用防火墙（WAF）是一种云安全服务，用于保护Web应用程序免受常见的Web攻击，如SQL注入、跨站脚本（XSS）等。
分类：WAF属于云安全领域的产品，用于Web应用程序的安全防护。
优势：腾讯云WAF具有智能学习和自适应防护能力，能够实时识别和阻止新型攻击。它还提供了丰富的安全策略和定制选项，以满足不同应用程序的需求。
应用场景：适用于任何托管在腾讯云上的Web应用程序，包括电子商务网站、企业门户、在线游戏等。
产品介绍链接地址：腾讯云Web应用防火墙（WAF）

请注意，以上答案仅供参考，具体的配置和实施步骤可能因实际情况而有所不同。建议在实际操作中参考相关文档和官方指南，以确保正确配置和使用云计算服务。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

C# HTTP系列10 form表单的enctype属性

系列目录【已更新最新开发文章，点击查看详细】在ASP.NET编程中经常遇到下面的代码片段，将人员信息以表单方式提交到后台程序并保存到服务器与数据库中。...就是说，在发送到服务器之前，所有字符都会进行编码（空格转换为 "+" 加号，特殊符号转换为 ASCII HEX 值）。...在使用包含文件上传控件的表单时，必须使用该值。 text/plain 空格转换为 "+" 加号，但不对特殊字符编码。...随着越来越多的 Web 站点，尤其是 WebApp，全部使用 Ajax 进行数据交互之后，我们完全可以定义新的数据提交方式，给开发带来更多便利。...实际上，现在越来越多的人把它作为请求头，用来告诉服务端消息主体是序列化后的 JSON 字符串。

1.1K4 0

层层剖析一次 HTTP POST 请求事故

二、问题排查步骤第一步：自测定位既然是form表单，我们采用控制变量法，尝试对每一个字段进行修改后提交测试。在多次试验后，锁定表单中的moduleExport 字段的变化会导致这个问题。...也就是说，理论上完整的网络层调用链如下图：并且从WAF的工作机制和问题表象上来看，很有可能是WAF层的原因。...第四步：WAF 排查带着上述的猜测，我们重新抓包，尝试获取整个HTTP请求的optrace路径，看看是不是在WAF层被拦截了，抓包结果如下：从抓包数据上来看，status为complete代表前端请求发送成功...综上而言，form表单中的moduleExport字段的变化很可能导致在WAF层被拦截。...在定位到具体的问题发生地后，由将之前锁定的字段进行拆解，逐步分析字段中每个属性，从而最终确定XX属性的值触犯了WAF的规则机制。

1.1K1 0

Web应用程序防火墙（WAF）bypass技术讨论（一）

攻击者的恶意数据可以欺骗解释器在没有授权的情况下执行非预期的命令或访问敏感数据。...比方说，你攻击的目标处于WAF的保护下，但是这个WAF有一个规则，一旦GET参数的值内或POST请求的body里包含/etc/passwd或/bin/ls，所有的请求都会被阻止。如果你试图请求/?...cmd=cat+/etc/passwd，那么它会被目标WAF阻止，你的IP将被永久禁止访问并被标记。如果目标WAF没有足够的规则集来阻止像？和/在查询字符串中，那么就能使用通配符来进行绕过。...该请求却被我的WAF接受了。 ? 发生这种情况是因为“问号”，“正斜杠”和“空格”都在规则920271和920272的字符范围内。...Paranoia Level 3 (PL3) 这个等级会阻止包含“？”

2.9K4 0

如何做一款好的waf产品(2)

由于后台系统的种类繁多，WAF必须识别出针对这些系统的攻击，这为WAF的开发带来了很大的难处，为了使WAF的规则可以有效的抵御这些攻击，WAF必须发现出这些攻击并将变换的输入数据还原成正常的数据。...WAF支持以下的数据还原方法 1. URL解码 (如%XX) 2. 以空字节结尾的字符串（Null byte string termination），如C风格字符串。 3....转义字符（Escaped characters） (如\t, \001, \xAA, \uAABB)。黑名单机制 WAF的黑名单定义采用了下述的机制： 1....保护表单中的隐藏域防止表单中隐藏域的值被篡改。...严格的请求顺序控制是指WAF严格的监视请求的顺序，只有那些可能的后续请求才能被允许。

7682 0

WAF绕过技巧浅谈

例如你的攻击目标位于Web应用放火墙后，并且在其规则内配置了一条，用于阻止所有在GET或POST请求参数内包含/etc/passwd或/bin/ls的规则，那么此时你尝试诸如/?...答案是肯定的。在文件系统中echo命令支持使用通配符枚举文件目录。例如：echo //ss*。 ? 我们可以在具有RCE漏洞的URL上使用该命令语法，以获取目标系统上的文件和目录信息，例如： ?...现在我们来看看具有相同请求的右窗口，唯一不同的是这里我使用了”？“通配符代替了原来的字符。从结果上可以看到Sucuri WAF并未对我们的请求进行拦截，我的脚本执行了GET给c参数的系统命令。...可以看到PL1，一个查询字符串只能包含1-255范围内的ASCII字符，直到PL4在非常小的范围内阻止所有不是ASCII的字符。 ? ? 让我们对所有这些等级做个测试！...Level 3 (PL3) 这个等级相对于前两个则优化了不少，它会阻止包含“？”等字符超过n次的请求。我的请求被标志为“元字符异常检测警报 - 重复非单词字符”。

2K10 0

Ajax(二)

以POST方式提交表单数据 enctype的三种属性值之间的区别：属性值应用场景 application/x-www-form-urlencoded 表单中不包含文件上传的场景，适用于普通数据的提交...-- 提交按钮 --> 提交使用Ajax解决页面跳转问题通过 Ajax 提交表单采集到的数据，可以防止表单默认提交行为导致的页面跳转问题...步骤给form注册submit事件 ==> 该事件会在表单提交的时候会触发阻止表单的默认跳转行为 ==> 事件对象e.preventDefault() 收集表单中数据发送ajax请求提交给服务器...在实际开发中，常用的 5 种请求方式分别是： GET、POST、PUT、PATCH、DELETE 为了简化开发者的使用过程，axios 为所有支持的请求方法提供了别名： axios.请求方式(请求地址...FormData 中追加键值对数据 fd.append('username' , 'admin') 注意: 键表示数据项的名字，必须是字符串值表示数据项的值，可以是任意类型的数据发送普通的FormData

1.6K2 0

Web应用防火墙的使用效率问题与替代性技术的深入讨论

如果请求中的数据包含类似SQL或Shell之类的代码，服务器可能会阻止我们的请求。在网络安全领域的起步阶段，WAF似乎是一个好主意。...当时的HTTP请求提及很小，而且请求也不频繁，并且大多包含的都是普通的表单数据。...正如本文之前在性能部分提到的那样，请求Body必须缓冲到RAM中进行分析，因此WAF必须设置一个截止点，以避免在单个请求上花费无限的CPU和RAM。...这也就意味着，越来越多的字符串可能会触发WAF的规则，并阻止我们的请求。...如果你想发表一篇讨论Log4shell的文章或发表相关的评论，你可能会因为发表的内容中包含了“${jndi”之类的字符串而被WAF屏蔽。

1531 0

HTTP协议学习

，请求方式有表单POST提交、AJAX-POST请求 ①.POST /user HTTP/1.1 客户端想向服务器添加一条新录 uname=tom&upwd=123 (3).PUT...：表客户端想“放置/上传/更新”服务器上的指定资源，相关数据在请求主体中，请求方式有AJAX-PUT请求 ①.PUT /user HTTP/1.1 客户端想更新服务器上的一条记录 uname=tom&upwd...，尽量减少请求次数--合理进行资源合并，合理使用缓存 (4).等待响应时间，提高服务器运行速度，提高数据运算及查询速度 (5).接收响应，尽可能减少响应数据长度--删除空白字符，启压缩 11.HTTP协义详解...application/x-www-form-urlencoded 请求主体是经过编码后的表单数据 multipart/form-data 表单中包含上传的文件数据 D.客户端自定义头部 ③.CRLF...，数字，bool,null,字符串，注意:字符串必须用双引号 (3).数组中可以包含多个值，使用逗号分隔 (4).对象中可以包含多个键值，使用逗号分隔，不同值，键和值之间用分号分隔 ,键必须是双引号

6.6K1 0

使用Python检测并绕过Web应用程序防火墙

- >“”这些字符，因此我们可以在WAF中设定一个包含这些字符的的过滤规则，我们可以进行如下定义： 1.... 2. alert(*) 第一个签名将过滤任何包含字符串的请求，第二个将过滤任何包含alert(*)字符串的请求。如何判断目标环境是否部署防火墙？ ?...在通常情况下，如果我们在一个部署有WAF的系统上执行以上payload，那么在http的响应中我们将能捕获到WAF留下的轨迹： HTTP/1.1 406 Not Acceptable Date: Mon...因此在第三行代码中，我们需要告诉mechanize要选择以此命名的表单进行提交，所以formName变量为‘waf’。第四行代码就是打开目标URL地址，并提交我们的数据。...可以看到payload被打印在了HTML文档中，这也说明应用程序代码中没有任何的过滤机制，并且由于没有防火墙的保护，我们的恶意请求也未被阻止。

2.4K5 0

类编程的WAF（上）

非工作时段不仅拦截还阻止该用户一段时间访问对 admin 等管理账号登录后的访问不进行注入检查对于只记录不拦截的请求，附加一个特别的请求头发往应用对某些 URL 的注入访问记录下 HTTP 请求的全部报文...这还仅仅是防注入这项基本功能，如果有更多的应用防护需求，比如：一个已登录的非内网用户在 10 秒钟连续访问 POST 方法的页面 (非 AJAX 数据) 达到 5 次，则在 10 秒内延迟这个用户的响应时间...这种规则的好处是简单明了，用户甚至可以在图形化界面中完成规则的配置，但其弱点是不足以描述复杂的情形。...四、类编程的WAF 天存信息的类编程 WAF，用数据结构来表达程序思想，让普通的技术支持人员也能够写出足够复杂和灵活的安全策略。...类编程的 WAF 具有以下与编程语言相似的特性：无限嵌套的 if / the / else 条件判断完整的 and / or / not 逻辑运算符对集合 / 数组成员的遍历运算变量包含多种数据类型

7243 0

黑客用Python：检测并绕过Web应用程序防火墙

- >“”这些字符，因此我们可以在WAF中设定一个包含这些字符的的过滤规则，我们可以进行如下定义： 1.... 2. alert(*) 第一个签名将过滤任何包含字符串的请求，第二个将过滤任何包含alert(*)字符串的请求。如何判断目标环境是否部署防火墙？ ?...在通常情况下，如果我们在一个部署有WAF的系统上执行以上payload，那么在http的响应中我们将能捕获到WAF留下的轨迹： HTTP/1.1 406 Not Acceptable Date: Mon...因此在第三行代码中，我们需要告诉mechanize要选择以此命名的表单进行提交，所以formName变量为‘waf’。第四行代码就是打开目标URL地址，并提交我们的数据。...可以看到payload被打印在了HTML文档中，这也说明应用程序代码中没有任何的过滤机制，并且由于没有防火墙的保护，我们的恶意请求也未被阻止。

1.1K1 0

Django学习笔记之Ajax与文件上传

AJAX除了异步的特点外，还有一个就是：浏览器页面局部刷新；（这一特点给用户的感受是在不知不觉中完成请求和响应过程）场景： ?...－服务器－Ajax流程图略 Ajax应用案例 1 用户名是否已被注册在注册表单中，当用户填写了用户名后，把光标移开后，会自动向服务器发送异步请求。...2 基于Ajax进行登录验证用户在表单输入用户名与密码，通过Ajax提交给服务器，服务器验证后返回响应信息，客户端通过响应信息确定是否登录成功，成功，则跳转到首页，否则，在页面上显示相应的错误信息。...随着越来越多的 Web 站点，尤其是 WebApp，全部使用 Ajax 进行数据交互之后，我们完全可以定义新的数据提交方式，给开发带来更多便利。...实际上，现在越来越多的人把它作为请求头，用来告诉服务端消息主体是序列化后的 JSON 字符串。

1.6K1 0

Bypass WAF （小白食用）

WAF可以检测Web应用程序中的各种攻击，例如SQL注入、跨站点脚本攻击（XSS）、跨站请求伪造（CSRF）等，并采取相应的措施，例如拦截请求、阻止访问、记录事件等。...举个例子： 2.2分块传输绕过waf 先在数据包中添加Transfer-Encoding: chunked 数字代表下一列字符所占位数，最后需要用0独占一行表示结束，结尾需要两个回车在头部加入 Transfer-Encoding...这时，post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据，长度值独占一行，长度不包括它结尾的，也不包括分块数据结尾的，且最后需要用0独占一行表示结束。...在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。...4时,实际上服务器接收的内容仅仅有"id=1"云WAF也没有对带有恶意Payload的请求拦截,说明云WAF对于普通的POST请求提取了"Content-Length"标头并进行了判断,并以此为依据,作为对整个请求体内容的审查范围

1272 0

使用AJAX获取Django后端数据

根据Django项目的URLconf和视图的配置方式，URL可能包含关键字参数或查询字符串，我们希望在视图中使用该参数来选择请求的数据。 Headers 设置AJAX请求头参数。...向Django发出POST请求时，我们需要包含csrf令牌以防止跨站点请求伪造攻击。Django文档提供了我们需要添加的确切JavaScript代码，以从csrftoken cookie中获取令牌。...BODY POST请求的目标是将数据发送到视图并更新数据库。这意味着我们还需要在fetch调用中包含数据。...除了JSON数据（包括文件和来自表单的数据）外，其他数据也可以在正文中发送。有关如何包含其他类型的数据的更多信息，请参见MDN文档。...我们从POST请求中获得的响应将像GET请求一样使用链式承诺进行处理。在视图中处理POST请求接受POST请求的视图将从请求中获取数据，对其执行一些操作，然后返回响应。

7.5K4 0

实战 | WAF-Bypass之SQL注入绕过思路总结

资源限制角度绕过WAF 超大数据包绕过这是众所周知、而又难以解决的问题。如果HTTP请求POST BODY太大，检测所有的内容，WAF集群消耗太大的CPU、内存资源。...其中 multipart/form-data 表示该数据被编码为一条消息,页上的每个控件对应消息中的一个部分。所以，当 waf 没有规则匹配该协议传输的数据时可被绕过。...pipeline绕过 http协议是由tcp协议封装而来，当浏览器发起一个http请求时，浏览器先和服务器建立起连接tcp连接，然后发送http数据包（即我们用burpsuite截获的数据），其中包含了一个...但是在某些中间件（如IIS）中的GET请求同样可以传输POST数据。...畸形method绕过某些WAF在处理数据的时候严格按照GET、POST等标准HTTP方法来获取数据，或者采用正则匹配的方式来处理数据，可能因为WAF和WEB服务解析的前后不对等绕过WAF。

4.6K1 0

zepto 基础知识(6)

none)：发送到服务器的数据；如果是GET请求，它会自动被作为参数拼接到url上。...7.ajaxStop (global)：如果这是最后一个活跃着的Ajax请求，将会被触发。　　　　默认情况下，Ajax事件在document对象上触发。...105.$.ajaxSettings 　　　　一个包含Ajax请求的默认设置的对象。大部分的设置在 $.ajax中已经描述。...请求中提交数据使用的URL编码的查询字符串表示。...表单方法： 111.serialize 　　serialize() 类型string 　　在Ajax post 请求中将用作提交的表单元素的值编译成URL编码的字符串。

1.6K10 0

实战 | WAF-Bypass之SQL注入绕过安全狗

超大数据包绕过绕过原理资源限制：WAF长度资源限制假如HTTP请求POST BODY太大，检测所有内容，WAF集群消耗太多的CPU、内存资源。因此许多WAF只检测前面的2M或4M的内容。...绕过技巧： •GET型请求转POST型•Content-Length头长度大于8200•正常参数在脏数据后面，否则无效数据包构造： POST /dvwa/vulnerabilities/sqli/?...其中 multipart/form-data 表示该数据被编码为一条消息,页上的每个控件对应消息中的一个部分。所以，当 waf 没有规则匹配该协议传输的数据时可被绕过。...绕过技巧： •使用表单请求中的multipart/form-data•关键词换行•GET型请求转POST型数据包构造： POST /dvwa/vulnerabilities/sqli/?...[User]/**/where id=1 那么意味着在注释符中可以添加大量的无效字符来打破WAF的规则匹配。

2.3K3 0

AJAX--总结

readyState 的值不会递减，除非当一个请求在处理过程中的时候调用了 abort() 或 open() 方法。...每次这个属性的值增加的时候，都会触发 onreadystatechange 事件句柄。 responseText 服务器接收到的响应体（不包括头部），如果还没有接收到数据的话，就是空字符串。...AJAX+PHP流程创建对象请求初始化发送请求接受并处理结果 GET传参可以直接拼接传参 POST传参 setRequestHeader() 设置Post传参方法原理...: 模拟表单 HTML表单enctype值介绍值描述 application/x-www-form-urlencoded 在发送前编码所有字符（默认） multipart/form-data 不对字符编码...在使用包含文件上传控件的表单时，必须使用该值。 text/plain 空格转换为 "+" 加号，但不对特殊字符编码。

531 0

关于Json 与 Request Header 的Content-Type 一些关系。

就是说，在发送到服务器之前，所有字符都会进行编码（空格转换为 “+” 加号，特殊符号转换为 ASCII HEX 值）。...在使用包含文件上传控件的表单时，必须使用该值。 text/plain 空格转换为 “+” 加号，但不对特殊字符编码。 HTTP请求中， get请求，参数url：http://test/ttt?...;参数在消息中也就是Form Data里面；获取方式 Request.Form[key] post请求，如果不是上面的特定方式，由于数据格式不固定，所以只能才取最原始方式读取数据流。...请求request消息或响应response消息中可能会包含真正要传递的数据，这个数据我们就称为消息的有效负荷，对应着就是request payload,response payload。...，所以post过去的只是一个字符串。

1.3K1 0

使用Amazon Cloudfront进行全球加速和增强网站防御功能

CloudFront 通过全球数据中心（称作边缘站点）网络传输内容。当用户请求用 CloudFront 提供的内容时，请求被路由到提供最低延迟（时间延迟）的边缘站点，从而优化网站速度。...Amazon CloudFront的边缘节点安全性 1.针对网络和应用层攻击的保护 Amazon CloudFront、Amazon Shield、Amazon Web 应用程序防火墙（WAF）和 Amazon...CloudFront默认提供了多种缓存托管策略，可以直接选择使用，也可以根据需要自定义缓存策略来使用，默认提供的托管策略如下：托管源请求策略 UserAgentRefererHeaders 仅包含...AllViewer 适用于动态请求的源站，源站可以获取查询字符串和Cookie等信息。...即给用户访问的域名，也就是国内ＣＤＮ厂商中的“加速域名”。

2781 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭