来源:自学PHP网 时间:2015-04-17 15:08 作者: 阅读:次
[导读] 文章作者:redice师弟朋友的网站被人××了,我帮忙检测了一下。找了一个新闻显示页面,尝试sql Injection,被告知IDS拦截了请求。截图如下:根据提示页上的连接找到了“创智IIS防火墙”...
|
文章作者:redice 师弟朋友的网站被人××了,我帮忙检测了一下。 找了一个新闻显示页面,尝试sql Injection,被告知IDS拦截了请求。 截图如下:
根据提示页上的连接找到了“创智IIS防火墙”的网站,大概看了一下产品的介绍。 又是基于ISAPI的WAF。个人感觉ISAPI对IIS版本的依赖性太高,稳定性也不是太好(ISAPI,让我欢喜让我忧啊)。 通过查看产品说明,发现它只过滤了GET和POST数据(也就是QueryString,PostData)。 尝试了一下Cookie(中转)注入,果然好使.... 截图如下:
注意:由于是cookie中转注入,所以路径是本地。 没有完美的WAF,WEB产品的安全性要靠自己 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
