​ 梳理了一下自己写过的WAF Bypass相关的文章,按照编写时间顺序,整理成了一个WAF Bypass实战系列,如果你准备了解WAF攻防这一块的内容,可以来了解一下. 第一篇:<BypassD盾IIS防火墙SQL注入防御(多姿势)> 原文地址:http://www.cnblogs.com/xiaozi/p/7357937.html​ ​ 2017年9月中旬写的,记录在博客园,分享了几种Bypass D盾_IIS防火墙的思路 ​ 2018年3月,又写了一篇关于新版D盾的绕过思路: <分…

android MVP模式介绍与实战 描述 MVP模式是什么?MVP 是从经典的模式MVC演变而来,它们的基本思想有相通的地方:Controller/Presenter负责逻辑的处理,Model提供数据,View负责显示. MVC和MVP的区别? 为什么会出现MVP模式呢?这是因为原有的MVC模式有一些短板.比如在android开发中,activity充当着MVC中Controller的角色,但是在实际开发中处理view的逻辑和角色.当业务界面复杂时我的activity会显得很庞大.于是出现了M…

系列目录 1.Jenkins 安装 2.Jenkins 集群 3.Jenkins 持续集成 - ASP.NET Core 持续集成(Docker&自由风格&Jenkinsfile) 4.Jenkins 高级用法 - Pipeline 安装 5.Jenkins 高级用法 - Jenkinsfile 介绍及实战经验 6.Jenkins 高级用法 - Blue Ocean 使用 7.Jenkins 高级用法 - 根据 git commit 控制构建过程 8.Jenkins 高级用法 - 微服务D…

0x01 背景 waf Bypass 笔记 0x02 服务器特性 1.%特性(ASP+IIS) 在asp+iis的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来的结果就是s%elect,但是在iis+asp的环境的时候,解析出来的结果为select. Ps.此处猜测可能是iis下asp.dll解析时候的问题,aspx+iis的环境就没有这个特性. 2.%u特性(asp+iis和aspx+iis) Iis服务器支持对于unicode的解析,例如…

分享两个小脚本,用来WAF Bypass简单FUZZ的 第一个:先生成一个字典,带入搭建的环境进行FUZZ,针对某些软WAF挺好用的,可FUZZ出不少姿势出来,记得先把CC攻击加入白名单才行哦... #! /usr/bin/env python # _*_ coding:utf-8 _*_ import urllib import urllib2 import requests values={} f = open('mutou.txt','r') for line in f.xreadline…

1.前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常谈的话题也没什么可写的.很多人一遇到waf就发懵,不知如何是好,能搜到的各种姿势也是然并卵.但是积累姿势的过程也是迭代的,那么就有了此文,用来总结一些学习和培养突破waf的思想.可能总结的并不全,但目的并不是讲那些网上搜来一大把的东西,So…并不会告诉大家现有的姿势,而是突破Waf Bypass思维定势达到独立去挖掘waf的设计缺陷和如何实现自动化的Waf Bypass(这里只讲主流waf的黑盒测试). 2.搞起 当…

很久没写东西了,今天整理一点儿思路 简单说一下XSS XSS(cross site script)即跨站脚本,侧重于"脚本"这一层概念,是一种常见web安全漏洞.攻击者通过往web页面里看起来就能插or看起来应该能插的地方插恶意代码,当用户浏览时就会执行. 可能造成很多风险,比如: 1.盗取cookie,伪装成用户(最常见) 2.操控浏览器,影响加密传输 3.与浏览器插件漏洞结合,挂马 4.改界面钓鱼 5.蠕虫 等等等等...... XSS按照不同分类标准可以有很多分类方式,什么DOM…

Keras 是一个用 Python 编写的高级神经网络 API,它能够以 TensorFlow, CNTK, 或者 Theano 作为后端运行.Keras 的开发重点是支持快速的实验.能够以最小的时延把你的想法转换为实验结果,是做好研究的关键. 本文以Kaggle上的项目:IMDB影评情感分析为例,学习如何用Keras搭建一个神经网络,处理实际问题.阅读本文需要对神经网络有基础的了解. 文章分为两个部分: Keras中的一些基本概念.Api用法.我会给出一些简单的使用样例,或是给出相关知识链接.…

0x01 背景 探索玩了Mysql特性,继续来探索一下MSsql特性. 0x02 测试 常见有5个位置即:select * from admin where id=1[位置一]union[位置二]select[位置三]1,2,db_name()[位置四]from[位置五]admin 位置一:参数和union之间的位置 (1)空白字符 Mssql可以利用的空白字符有:01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,…

BeautifulSoup是python的html解析库,处理html非常方便 BeautifulSoup 安装 pip install beautifulsoup4 BeautifulSoup 配合的解析器 # python标准库 BeautifulSoup(html,'html.parser') #lxml HTML 解析器 BeautifulSoup(html,'lxml) #html5lib BeautifulSoup(html,'html5lib') python 标准库解析器不需要第…