学习
实践
活动
工具
TVP
写文章

Imperva WAF XSS防护的绕过

虽然这种绕过方式官方已经修复,但还是可以学习其绕过思路用于测试其他WAF,说不定就可以呢! 谷歌搜索告诉我,Imperva是一个Web应用防火墙,用来保护网站免受我试图发起的攻击。我尝试了一些通用编码和过滤绕过方法,但令人惊讶的是每次尝试都被屏蔽了,在一系列尝试之后,我的IP被屏蔽了。 我把它放在onmousover这个html标签中,再次尝试,又一次触发了WAF。 似乎并没触发,如果插入代码被加载在web应用程序上,当我触发onmouseover事件就会弹出我的Javascript警报。 这有两个部分,一个是通知某餐厅我在他们的网站上发现了一个问题,第二个是通知Imperva,有一个微小的绕过他们WAF的技术。

27210

长亭WAF XSS防护绕过小记

前言 某次业务上线常规安全测试,有记录操作的功能,猜测存在存储型XSS漏洞,但由于存在长亭WAF被拦截。遂将之前总结的XSS绕过手段逐一测试了下。 \u0063oncat('ps/','js'); > 再补充个有些防护过滤了document.cookie可以试下下面的,很爽的 document['coo'['CONCAT'.toLowerCase <svg/onload=with(location)with(hash)eval(alert(1))> 基于DOM的方法创建和插入节点把外部JS文件注入到网页中,也可以应用with。

1.6K30
  • 广告
    关闭

    Web应用防火墙,新用户7天0元试用

    基于 AI 的一站式 Web业务运营风险防护方案,0day漏洞快速响应,爬虫风控精确拦截

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    常见6种WAF绕过和防护原理

    今天就聊聊关于上传绕过WAF的姿势,WAF(Web Application Firewall)简单的来说就是执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 一、Bypass Waf 1.一般开发人员防御策略 客户端javascript校验(一般只校验后缀名)服务端校验1>文件头content-type字段校验(image/gif)2>文件内容头校验(GIF89a )3>后缀名黑名单校验4>后缀名白名单校验5>自定义正则校验6>WAF设备校验(根据不同的WAF产品而定) 2.Bypass 2.1 有些waf不会防asp/php/jsp后缀的文件,但是他会检测里面的内容 2.2 WTS-WAF Bypass Content-Disposition: form-data; name=“up_picture”; filename=“xss.php” 2.3 Baidu cloud 三、Summary 研究WAF的绕过手段,是为了更好的提升WAF的防御能力。

    1.8K10

    绕过WAF和多个防护软件提权案例

    0x01 前言 这篇文章记录的是朋友在某次项目测试中遇到的一个因存在WAF和多个防护软件而无法提权的问题,这次绕防护提权的过程中也是踩了不少的坑,记录分享下。 执行时都会卡一段时间,然后直接就结束掉了,360和火绒默认不会拦这些,也不知道是啥防护拦的。 \Framework\v4.0.30319\msbuild.exe shellcode.xml 以上只是简单记录了下测试过程中遇到的问题,目前只能执行部分cobaltstrike内置命令,还不能执行系统命令和上线 坑点一: 目标好像存在什么WAF,上传Webshell时并没有查杀,但冰蝎马和其他一些大马、命令执行马在访问时一直转圈圈,没能解析成功,应该是被拦了,只能用哥斯拉asmx马和中国菜刀aspx马。 经过测试后发现这个WAF好像是根据Webshell声明的文件头来进行拦截的,只要带有Page Language="C#"就会被拦,不知道这是啥WAF,居然没有拦截特征。

    10430

    应用防护配置实践

    背景由于很多用户有Web应用防护的需求,但是对安全不是非常了解,购买WAF后没有很好的使用起来。 说明应用防护本质上是一种攻防对抗,除少数规则清洗的攻击外, 无法100%保证拦截所有恶意请求并且不影响业务,我们的配置大部分也在业务和安全上做权衡,在保证业务最小损失的情况最大限度防护住攻击。 ,访问日志打开方便排查,攻击日志默认开启并不需要购买日志包1防护配置基础设置防护模式拦截极度敏感不能有任何误拦的系统,先开启观察模式,其他系统建议开启拦截模式2防护等级正常可以点开右侧规则管理,查看具体防护规则 ,访问日志打开方便排查,攻击日志默认开启并不需要购买日志包1防护配置基础设置防护模式拦截极度敏感不能有任何误拦的系统,先开启观察模式,其他系统建议开启拦截模式2防护等级正常可以点开右侧规则管理,查看具体防护规则 ,可根据实际情况做调整3IP情报特征根据业务调整根据业务是否允许IDC机器访问,开启对应IDC的策略,一般系统没有提供给其他系统调用的情况,可开启拦截4IP情报特征IP类型包含IDC普通页面5自定义回话特征

    39173

    破解Web应用防护新难题 腾讯新一代WAF产品发布会即将召开

    随着数字化转型的深入,针对Web应用的攻击越来越频繁。目前信息安全攻击大约75%都发生在Web应用层而非网络层。 WAF是市场上应用最广泛的一种守护Web应用安全的产品,可以识别并阻拦常见的Web攻击,为组织网站及Web业务安全运营保驾护航。但随着黑客攻击手段不断升级,WAF运维也面临新的挑战。 比如,部署WAF之后客户经常抱怨,正常业务被WAF阻断了;或者WAF没有及时防御住刚刚爆发的高危漏洞攻击,这些抱怨集中体现了WAF难以平衡可用性和安全性的弊端,漏报和误报仍然是困扰WAF的主要问题。 10月20日14:00,腾讯安全将发布“新一代WAF产品”,以更宽广的防护边界、更多样的接入形态,实现基础安全、BOT管理和业务安全能力的全面提升,帮助腾讯云内外用户轻松应对各类Web攻击入侵及挑战威胁 欢迎感兴趣的行业同仁关注腾讯安全视频号进行直播预约,和我们共同探讨如何建立更加安全、便捷、准确的Web应用的安全防护体系。 image.png 32.jpg

    30850

    web应用防火墙-WAF

    使用背景公司要求对外http服务必须使用web应用防火墙,他的功能和优势请查看官方文档我的需求能支持泛域名接入支持https证书管理支持https 协议回源用httphttp支持黑白名单查了一下文档基本上能满足我们的需求 遇到的问题我们的站点接入了CDN,流量都是先从CDN过来, 由于站点遇到攻击,因此WAF的IP惩罚功能将CDN的回源IP进行了封禁处理,导致站点一段时间不可用解决方法: 配置域名时,将代理情况修改为是, 这样CDN就会通过XFF(X-Forworded-For)获取客户端IP了(但是也增加了伪造ip的风险);图片域名配置http强制https,由于WAF存在BUG会导致偶发下载配置失败,导致域名访问页出现异常如下

    18920

    IISWeb应用防火墙WAF

    随着Web应用的爆炸式成长,传统的IDS设备对于应用层尤其是HTTP应用层就显得越来越力不从心了。2008年,大规模SQL自动注入让Web安全越来越被人们所关注,Web应用防火墙也就应运而生。 顾名思义,Web应用防火墙(Web Application Firewall,下面简称WAF)是专注于Web应用层上的应用级防火墙。 利用WAF可以有效地阻止各类针对Web应用的攻击,比如SQL注入、XSS攻击等。 此外并会记录这些行为模式和攻击来源,将这些行为依据日期、对方IP、类型等纪录于系统,整合多种图形化报表分析,便于系统管理人员协助 IIS Web Server 安全状况的控制与管理。 中华龙网于网站上提供免费下载的为“DragonWAF 试用版”,提供14天的防护功能, 14天后试用版仍会 提供弱点攻击警告讯息,但不会启动防护功能。

    66350

    iOS 开发:『Crash 防护系统』(二)KVO 防护

    本文是 『Crash 防护系统』系列 第二篇。 通过本文,您将了解到: KVO Crash 的主要原因 KVO 防止 Crash 的常见方案 我的 KVO 防护实现 测试 KVO 防护效果 文中示例代码在: bujige / YSC-Avoid-Crash 那么有没有一种对项目代码侵入性小,同时还能有效防护 KVO 崩溃的防护机制呢? 网上有很多类似的方案可以参考一下。 BayMax 系统还利用 Method Swizzling 实现了自定义的 dealloc,在系统 dealloc 调用之前,将多余的观察者移除掉。 ---- 参考资料 大白健康系统 -- iOS APP运行时 Crash 自动修复系统 iOS-APP-运行时防 Crash 工具 XXShield 练就 - 茶茶的小屋 iOS 中的 crash 防护

    98141

    iOS应用代码注入防护

    应用开发过程中,我们不仅仅需要完成正常的业务逻辑,考虑应用性能、代码健壮相关的问题,我们有时还需要考虑到应用安全的问题。 那么应用安全的问题涉及到很多方面。 比如防止静态分析的,代码混淆、逻辑混淆;防止重签名的,应用ID检测、甚至是代码的HASH检测等等。那么这篇文章我想聊聊关于代码的注入检测,因为发现随着iOS系统的更新,我们防护的手段发生了一些变化。 利用yololib修改MachO文件,添加库路径.在应用启动时,dyld会加载并执行. 早期防护方式 在工程的Build Settings中找到Other Linker Flages 并添加字段 -Wl,-sectcreate,__RESTRICT,__raestrict,/dev/null 此操作的作用是在可执行文件中添加一个Section.我们使用MachOView分析如下: MachOView 当MachO文件中拥有这个字段,那么我们通过越狱环境插入动态库的方式就会失效.起到防护的作用

    1.3K50

    无成本为网站服务器加入高可靠的WAF防护

    什么是WAFWAF就是Web应用防护系统(Web Application Firewall)翻译过来就是网站应用级入侵防御系统,他的工作原理是通过执行一系列针对HTTP(80端口)或者HTTPS(443 /archive/master.zip 解压缩,并移动到我们需要的目录去 unzip master.zip mv ngx_lua_waf-master/* /usr/local/nginx/conf/waf / 我们将服务器/usr/local/nginx/conf/waf/目录下的config.lua下载到本地,这个是WAF的配置文件,图中是树懒先生的配置。 下面将完整的配置代码贡献出来了,直接覆盖config.lua就可以了 RulePath = "/usr/local/nginx/conf/waf/wafconf/" attacklog = "on" logdir 安全防护自动拦截!

    51120

    无成本给网站服务器加入高可靠的WAF防护

    话不多说,今天树懒先生告诉大家如何利用NGINX-LUA给服务器添加高可靠的WAF防护。 什么是WAFWAF就是Web应用防护系统(Web Application Firewall)翻译过来就是网站应用级入侵防御系统,他的工作原理是通过执行一系列针对HTTP(80端口)或者HTTPS(443 /archive/master.zip 解压缩,并移动到我们需要的目录去 unzip master.zip mv ngx_lua_waf-master/* /usr/local/nginx/conf/waf / 我们将服务器/usr/local/nginx/conf/waf/目录下的config.lua下载到本地,这个是WAF的配置文件,图中是树懒先生的配置。 安全防护自动拦截!

    51030

    Web应用安全:腾讯云网站管家WAF

    一、 认识腾讯云网站管家WAF 腾讯云网站管家WAF(Web Application Firewall,Web应用防火墙),是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营风险防护方案 了解腾讯云网站管家WAF: https://cloud.tencent.com/product/waf image.png 腾讯云网站管家防护原理是通过更改DNS解析设置,将原本直接访问Web业务站点的流量先引流到腾讯网站管家云 WAF防护集群,所有攻击都先到达腾讯云WAF,经过云端威胁清洗过滤后再将安全流量回源到业务站点,从而确保到达用户业务站点的流量安全可信。 ---- 二、 腾讯云网站管家WAF防护功能及价值 安全问题 业务影响 腾讯云网站管家WAF防护功能 黑客入侵 数据窃取 ▪ 商业数据泄露,业务竞争力受损 ▪ 恶劣社会影响,严重时遭到政府主管单位罚款甚至被要求关闭整改 | 腾讯云网站管家 WAF AI 引擎实践 :大大提升Web攻击检测效率 技术应用 AI 语义+规则 语义 检出率 98.87% 84.89% 74% 在实际的实验数据测试对比中,腾讯云网站管家 WAF

    2.3K00

    互联网公司WAF系统设计

    0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙, 是对web业务进行防护的一种安全防护手段。 互联网公司的业务倾向于云平台,云WAF就应运而生,除去考虑硬件WAF的考虑,下面只讲基于互联网公司的需求,打造一款WAF联动系统。 现在互联网公司招WAF开发的,一般都会加上nginx lua的要求,可见使用nginx + lua开发WAF,实在是天时地利人和。 现在简单的说一下WAF系统的组成。 WAF系统主要是由三部分组成的:执行前端、后端中心系统及数据库。 执行前端是WAF的执行引擎, 主要是根据规则进行过滤。根据规则匹配的结果,执行相应的动作。 这是具体规则的web设置,规则配置增删改规则,规则分组则是对规则分组的增删改操作,规则应用则是对不同host配置不同的规则分组。

    1.4K100

    Web防护自给自足:给Express写一个WAF中间件!

    本文将展示如何为Express写一个WAF中间件,为Web服务做安防,防止常见的如SQL注入、XSS等黑客攻击。 ? 功能的Web应用。 代码重点演示WAF中间件,实现WAF防护逻辑的核心部分代码: //WAF中间件 app.use(function(req, res, next) { var path = req.url; 恶意指令检测使用的是正则表达式,这是WAF常用的检测方式,这套规则来自ShareWAF。 且在后台输出了拦截信息,并提示出触发了哪条WAF防护规则。 本文仅做演示,只检测了url路径。

    42320

    操作系统防护方法

    为一个运行的进程创建一个临时的 root 目录,并在新建的 root 目录中放入有限的应用 chroot 的优点 增加了系统的安全性,限制了用户的权力:在经过 chroot 之后,在新根下将访问不到旧系统的根目录结构和文件 ,这样就增强了系统的安全性 建立一个与原系统隔离的系统目录结构,方便用户的开发:使用 chroot 后,系统读取的是新根下的目录和文件,这是一个与原系统根下文件不相关的目录结构。 在这个新的环境中,可以用来测试软件的静态编译以及一些与系统不相关的独立开发程序 切换系统的根目录位置,引导 Linux 系统启动以及急救系统等:chroot 的作用就是切换系统的根位置,而这个作用最为明显的是在系统初始引导磁盘的处理过程中使用 (LIDS) 4.3 安全增强的 Linux (SELinux) SELinux提供了比传统的UNIX权限更好的访问控制 管理员可以只允许一个应用程序添加记录到一个日志文件,但不允许其修改或者删除该日志文件的内容 一个应用程序可以被允许在一个文件夹中建立文件和向其写入数据,但不能删除文件:这种特性是没有SELinux的普通的Linux内核所不能做到的 网络应用程序可以绑定到其需要的端口上(如 BIND 的 53

    13320

    LNMP高级应用 反向代理+CC防护

    一、LNMP高级应用之nginx最简单反向代理 server { listen 80; server_name vpsmm.com; location / { proxy_pass

    75860

    【沙龙现场】移动应用之威胁 & 防护

    腾讯Bugly移动开发者沙龙 第四期:移动应用安全剖析 【分享内容】移动应用之威胁 & 防护 移动平台与应用的多样化和灵活性,在带来更简洁、灵活和丰富的用户体验的同时,其面临的安全问题也更加的复杂和多样化 张军 毕业于北京交通大学,2014年加入腾讯,移动安全实验室研究员,在移动应用破解、加固、漏洞分析与利用领域均有研究,目前主要负责应用加固项目。 【分享PPT】 ? ? ? ? ? ? ? ? ? 本文系腾讯bugly独家内容,转载请在文章开头显眼处注明注明作者和出处“腾讯Bugly(http://bugly.qq.com)” 腾讯Bugly 最专业的质量跟踪平台 精神哥、小萝莉,为您定期分享应用崩溃解决方案

    49660

    扫码关注腾讯云开发者

    领取腾讯云代金券