【收藏版】WAF攻防实战笔记

图片[1]-【收藏版】WAF攻防实战笔记-FancyPig's blog

序言

在WAF防护逐渐盛行的前几年,我曾研究过各种WAF绕过的技巧,也曾突破过各种各样的WAF防护。最近,我准备重新梳理下自己的知识体系,于是,我将自己写过的关于WAF攻防相关的文章内容合并到一个文档,并形成一个完整目录。

这份文档分为技巧篇和实战篇,技巧篇介绍了各种服务器、数据库、应用层、WAF层的特性,在实战篇中,我们将灵活运用各种技巧去绕过WAF防护。有些姿势或许早已失效,但更重要的是思路,有一些思路让我至今觉得非常有意思。

当你掌握了一定的攻防技巧,你就会发现不断的去突破防御、绕过各种限制,会是一件非常有意思的事情。

如果你按照这份文档里介绍的各种的技巧和思路,依然还没有绕过WAF,那么你需要做的就是,去发现那些尚未被挖掘的特性。在攻防的世界里,就是在一直突破,从未有过极限,Hacks For Everything!

文章纲要

序言
第一章:WAF Bypass技巧
第一节:服务器特性
第二节:应用层特性
第三节:WAF 层特性
第四节:数据库特性
第一篇:Mysql数据库特性
第二篇:SQL Server数据库特性
第三篇:Oracle数据库特性
第四篇:Access 数据库特性
第二章:WAF Bypass实战
第一篇:Bypass D盾_IIS防火墙SQL注入防御(多姿势)
第二篇:Bypass 360主机卫士SQL注入防御(多姿势)
第三篇:Bypass ngx_lua_waf SQL注入防御(多姿势)
第四篇:Bypass X-WAF SQL注入防御(多姿势)
第五篇:Bypass 护卫神SQL注入防御(多姿势)
番外篇:打破基于OpenResty的WEB安全防护
附录:WAF自动化FUZZ脚本

正文

© 版权声明
THE END
喜欢就支持一下吧
点赞137
分享
评论 共1条

请登录后发表评论