一、环境
2、Pikachu靶机
3、安全狗最新版
二、BurpSuite2022抓包,点击获取下载地址
1、正常访问结果
2、抓取POST包,并修改,加入and 1=1,提示被拦截
3、将and 1=1修改为and 0x1!=0x1肯定不成立,返回不存在,再修改为and 0x1!=0x0,返回用户名,说明“十六进制+不等于”可以绕过该WAF。
禁止非法,后果自负
欢迎关注公众号:web安全工具库
欢迎关注视频号:之乎者也吧
一、环境
2、Pikachu靶机
3、安全狗最新版
二、BurpSuite2022抓包,点击获取下载地址
1、正常访问结果
2、抓取POST包,并修改,加入and 1=1,提示被拦截
3、将and 1=1修改为and 0x1!=0x1肯定不成立,返回不存在,再修改为and 0x1!=0x0,返回用户名,说明“十六进制+不等于”可以绕过该WAF。
禁止非法,后果自负
欢迎关注公众号:web安全工具库
欢迎关注视频号:之乎者也吧
WAF(Web Application Firewall)是一种安全系统,旨在监控和控制网络流量,以防止攻击,如SQL 注入、跨站脚本(XSS)
waf 绕过的技巧
sql server waf绕过
&n
举报文章
请选择举报类型
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG,图片不超过1.9M