0 前言 　　ModSecurity是一個開源的跨平台Web應用程序防火牆（WAF）引擎，用於Apache，IIS和Nginx，由Trustwave的SpiderLabs開發。作為WAF產品，ModSecurity專門關注HTTP流量，當發出HTTP請求時，ModSecurity檢查請求的所有 ...

使用御劍的字典： python dirsearch.py -u xxx.com -e * -w /media/dir_dict/ASP.txt,/media/dir_dict/ASPX.txt,/media/dir_dict/DIR.txt,/media/dir_dict/JSP.txt ...

WAF（web應用防火牆）逐漸成為安全解決方案的標配之一。正因為有了它，許多公司甚至已經不在意web應用的漏洞。遺憾的是，並不是所有的waf都是不可繞過的！本文將向大家講述，如何使用注入神器SQLMap繞過WAFs/IDSs。 svn下載最新版本的sqlmap svn checkout ...

從滲透的行為，一般可以分為 1。黑帽子 ----以個人意志出發攻擊。 2。白帽子 ---- 一般受雇於安全廠商，提高網絡安全水平的主要力量。 3、灰帽子 ----往往技術超過黑帽子白帽子， ...

Soul的匹配策略和waf執行流程 soul的匹配策略 通過前面幾節的分析我們可以看到，幾乎所有的插件都有匹配的規則執行的順序，而我們通過插件分析了解到，具體的規則匹配是在soul-plugin-base中實現的 在AbstractSoulPlugin文件中我們可以看到，具體的篩選規則的要求 ...

用 UTF-8 全角字符替換單引號字符 繞過過濾雙引號的waf，並且替換字符和雙引號。 在 payload 末尾添加零字節字符編碼 使用 Base64 編碼替換 ...

本篇文章介紹如何從常規攻擊的防御能力來評測一款WAF。一共覆蓋了十六種攻擊類型，每種類型均從利用場景（攻擊操作的目的），注入點（漏洞產生的地方，比如說大多數WAF都會較全面地覆蓋來自GET請求的攻擊，有選擇地覆蓋來自POST請求的攻擊而忽略來自請求頭的攻擊）和繞過方式來評測，最后附上評測代碼 ...

輸出： WARNING:root:warn messageERROR:root:error messageCRITICAL:root:critical message 默認情況下，l ...