0x00 前言 ​ 　　ngx_lua_waf是一款基于ngx_lua的web应用防火墙，使用简单，高性能、轻量级。默认防御规则在wafconf目录中，摘录几条核心的SQL注入防御规则： 这边主要分享三种另类思路，Bypass ngx_lua_waf SQL注入防御。 0x01 ...

0x00 前言 ​ X-WAF是一款适用中、小企业的云WAF系统，让中、小企业也可以非常方便地拥有自己的免费云WAF。 ​ 本文从代码出发，一步步理解WAF的工作原理，多姿势进行WAF Bypass。 0x01 环境搭建 官网：https://waf.xsec.io github源码 ...

0x00 前言 在服务器客户端领域，曾经出现过一款360主机卫士，目前已停止更新和维护，官网都打不开了，但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面，翻出了360主机卫士Apache版的安装包，就当做是一个纪念版吧。这边主要分享一下几种思路，Bypass 360主机卫士SQL注入 ...

原文及更多文章请见个人博客：http://heartlifes.com druid是阿里巴巴开发的为监控而生的数据库连接池，可以非常直观的看到当前应用的数据源、sql执行情况、sql防火墙、web应用、uri监控、spring接口调用监控等。 数据源配置： 开启web监控： 在数 ...

0x01 前言 　　在测试过程中，经常会遇到一些主机防护软件，对这方面做了一些尝试，可成功bypass了GET和POST的注入防御，分享一下姿势。 0x02 环境搭建 Windows Server 2003+phpStudy sql注入点测试代码： sql ...

的扫描探测。 在各种测试后突然发现了这个绕过阿里云防火墙的方法，不一定每一个都成功，但是能秒杀绝大部 ...

控制面板-Windows防火墙-高级设置-入站规则 在入站规则窗口中找到“BranchCache内容检索(HTTP-In)”选项并启用此规则。 这时候远程用户通过网站地址即可访问站点程序。 但是如果远程用户访问IIS的非80端口，也会出现不能访问的问题。 这是 ...

0x00 前言 练习sql注入过程中经常会遇到一些WAF的拦截，在网上找相关文章进行学习，并通过利用安全狗来练习Mysql环境下的bypass。 0x01 一些特殊字符 1.注释符号 /*!*/：内联注释，/*!12345union*/select等效union select ...