aliyunwaf防护分析

已于 2024-10-14 11:49:54 修改
阅读量419 收藏
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 逆向 文章标签: node.js javascript
于 2024-10-14 11:47:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liberty888/article/details/142914473

直接上图,首次访问login.html,返回页面,可以看到通过setCookie设置了一个cookie值,第二次访问需要携带这个值才可以正常访问。

直接使用VM框架加载注入脚本生成这个cookie即可。

可以看到生成的值和页面值是一致的,说明没有问题,重点是补的浏览器环境是否能够正常通过了。

44-3 waf绕过 - WAF绕过方法
weixin_43263566的博客
06-02 392
第一种方式,就是查询服务器的域名,查看历史解析记录,然后用其他ip访问就有可能绕过,原因可能是云waf是需要付费的,服务器的管理者如果只对其中一个ip进行访问该域名的其他ip没有防护就能实现绕过。值得注意的是,阿里云通常会自动续费,使用时需谨慎。因为我这里搭建时本地靶场,所以没法演示这种绕过方式,不过老师这样操作是可以绕过的,这种方式是可行的。这节课我也听的有点懵,这里我只能把我学到的写下来,可能以后就能理解了。具体方法:例如发送大量的请求或下载大型文件,来逐渐耗尽CDN流量。
阿里云waf简介和如何配置​
tiancaijiben的博客
09-25 2374
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
爬虫入门到放弃系列07:js混淆、eval加密、字体加密三大反爬技术
CatchLight的博客
04-02 1602
前言 如果再说IP请求次数检测、验证码这种最常见的反爬虫技术,可能大家听得耳朵都出茧子了。当然,也有的同学写了了几天的爬虫,觉得爬虫太简单、没有啥挑战性。所以特地找了三个有一定难度的网站,希望可以有兴趣的手动实践一下。 此篇文章只作知识扩展和思路引导,其中涉及的网站反爬技术,仅做技术学习探讨。 字体加密 字体加密总结成一句话:你看到的不是你看到的。 地址 猫眼电影:https://maoyan.com/films/343568 问题还原 最近的哥斯拉大战金刚看了没啊,好看不,评分高不高,票房多少了?让我们去
Java爬虫入门一
weixin_41010294的博客
12-10 790
总体步骤: 创建HttpClient对象 输入网址 发起请求 解析响应 上代码 import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.client.HttpClient; import org.apache.http...
Python爬虫之js加密 - setCookie
CatchLight的博客
06-19 2509
Python爬虫之js加密 - setCookie 在爬取某些网站的时候,获取的返回数据不是意料中的html,而是一大串毫无格式的js,例如: <script> var arg1='DBA2772350119161B1B1B5BC33B7EA4170E4FE32'; var _0x4818=['\x63\x73\x4b\x48\x77\x71\x4d\x49','\x5a\x73\x4b\x4a\x77\x72\x38\x56\x65\x41\x73\x79','\x55\x63\x4b\x69
云WAF防御机制详解
waitaikong_的博客
05-15 765
云WAF(Web Application Firewall)是一种基于云计算环境的Web应用防护服务,它可以帮助保护用户的Web应用免受多种网络威胁和攻击,如SQL注入、跨站脚本(XSS)、DDoS攻击等。云WAF通常作为一种服务提供,用户无需在自己的网络中安装硬件设备或软件程序,就可以享受到强大的安全防护功能23。流量监控与分析:实时监控网络流量,通过先进的数据分析技术检测潜在的攻击行为2。自动防护规则更新:自动更新防护规则,针对最新的网络漏洞和攻击手法提供防护2。弹性伸缩。
网络安全最新深入waf绕过 (云盾,宝塔,安全狗)(19)(1)
2401_84254364的博客
05-04 914
说明现在这个也不行了,开始会对里面的内容进行检测。第四种 爬虫白名单。
Nmap如何逃避WAF/ IDS
qq_39682037的博客
05-19 3595
Nmap如何逃避WAF/ IDS 前言 Nmap是功能最强大的扫描程序,用于执行许多功能,包括端口扫描,服务检测甚至漏洞检测。从入门到高级的Nmap 涵盖了许多基本概念和命令,我将讨论Nmap的一些高级技术。 正文 从安全的角度来看,防火墙和IDS(入侵检测系统)通常起着很好的作用,可以很好地保护远程目标,因为这些硬件和软件能够阻止入侵,但是在渗透测试的情况下,您需要绕过这些入侵工具以获得正确的结果,否则您将被误导。Nmap可以扫描远程目标计算机上的防火墙和其他入侵检测系统,因为它使用不同类型的技术
直接调用阿里云接口爬取数据
qq_38839677的博客
09-10 4184
1、初次试探 接到任务,要爬取阿里云上所有拍卖的域名。本想试试scrapy,查看了下网页源码,没有找到要爬取的内容。大网站就是不一样啊,数据隐藏的这么深。 2、深入分析 从源码没看出蛛丝马迹,习惯性地打开了Chrome的调试界面,看看我提交请求时到底干了些啥,果然,露馅了! 原来域名列表是用js在前端渲染的,而不是在后端渲染的,用到了jsonp技术,用来解决Ajax跨域问题。点击sea...
阿里云Web 应用防火墙(WAF)
weixin_44487968的博客
04-03 3507
Web 应用防火墙(WAF) WAF 是什么  网站或 APP 业务程序的正常,强依赖的安全产品 企业为什么要使用 WAF  没有 WAF 之前:暴露在互联网上的网站(业务)没有任何防护手段,一些自动化工具 (不需要黑客)就可以找到网站的漏洞,并造成业务数据丢失或者被篡改。  使用 WAF 之后:相当于使用了阿里巴巴淘宝业务数十年的防护经验,帮企业来保护自 身的网站(业务)安全,第一时间自动...
阿里云应用防火墙WAF部署和使用
qq_51503664的博客
10-26 6413
阿里云应用防火墙WAF部署和使用 本文将指导您快速部署和使用阿里云Web应用防火墙WAF 步骤1:购买WAF实例 1、登录Web应用防火墙控制台。 2、在欢迎使用Web应用防火墙页面,单击购买包年包月或者开通按量付费,前往产品购买页面。 步骤2:网站接入 网站接入指将需要防护的网站域名接入WAF实例,并修改网站域名的DNS解析到WAF,使访问网站的流量经过WAF,并受到WAF的防护。 说明 请确保在执行网站接入前,您已完成Web应用防火墙访问其他云资源的授权。具体操作,请参见授权WAF访问云资源。1、
阿里云waf简介
focus on security
03-14 3312
防护OWASP常见威胁 内置多种防护策略,可选择进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护0day漏洞快速防护针对高危Web 0day漏洞,专业安全团队24小时内提供虚拟补丁,自动防御保障服务器安全网站隐身通过域名DNS牵引流量,不对攻击者暴露服务器地址、避免绕过Web...
爬虫响应cookie阿里系案例:雪球财经
局外人LZ的博客
12-25 2614
声明:该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关。
细说——WAF
热门推荐
LainWith的博客
10-11 1万+
目录WAF是什么主流WAF有哪些?WAF的分类软件型WAF硬件型WAF基于云WAF开源型WAF网站内置的WAFIPS与IDS,防火墙与WAF之间的比较和差异防火墙功能IPS入侵防御系统IDS入侵检测系统WAF对比IPS与IDS防火墙与IPS / IDSWAF与IPS / IDSWAF检测手工检测工具检测WAFwafw00fsqlmapnmapWAF进程与拦截页面D盾云锁阿里云盾腾讯云安全腾讯宙斯盾360主机卫士奇安信网站卫士网站/服务器安全狗护卫神·入侵防护系统网防G01政府网站综合防护系统(“云锁”升级版
阿里云Web应用防火墙(WAF)如何接入使用
qq_51503664的博客
01-25 1376
至此,整个阿里云Web应用防火墙的接入和使用流程基本完成。
如何使用阿里云WAF进行反爬虫 (1)
04-06 4206
<p>如何使用阿里云WAF进行反爬虫</p> <h1 id="0x01-为什么要反爬虫">0x01 为什么要反爬虫</h1> <p>这是一个老生常谈的问题,爬虫使得互联网更加丰富多彩,但也有各种各样的
一个账户接管几乎所有阿里巴巴网站(CSRF漏洞+WAF绕过)
weixin_30437481的博客
04-15 1万+
场景 文章是关于某些客户端漏洞导致几个阿里巴巴网站的帐户被接管。 条件 TL;DR 必要条件,例如JSONP,某些浏览器处理cookie等行为。 攻击原理 大多数阿里巴巴的网站加载并执行外部JavaScript对象,JavaScript代码从名为的cookie中获取值uid。攻击者可以uid代表受害者将价值改变为恶意有效Payload,从而导致帐户接管。 漏洞发现的简要步骤 1、找到一...
转义字符<script name="aliyunwaf_6a6f5ea8">var _0x4818=['\x63\x73\x4b\x48\x77\x71\x4d\x49','\x5a\x73\x4b\x4a\x77\x72\x38\x56\x65\x41\x73\x79','\x55\x63\x4b\x69\x4e\x38\x4f\x2f\x77\x70\x6c\x77\x4d\x41\x3d\x3d','\x4a\x52\x38\x43\x54\x67\x3d\x3d','\x59\x73\x4f\x6e\x62\x53\x45\x51\x77\x37\x6f\x7a\x77\x71\x5a\x4b\x65\x73\x4b\x55\x77\x37\x6b\x77\x58\x38\x4f\x52\x49\x51\x3d\x3d','\x77\x37\x6f\x56\x53\x38\x4f\x53\x77\x6f\x50\x43\x6c\x33\x6a\x43\x68\x4d\x4b\x68\x77\x36\x48\x44\x6c\x73\x4b\x58\x77\x34\x73\x2f\x59\x73\x4f\x47','\x66\x77\x56\x6d\x49\x31\x41\x74\x77\x70\x6c\x61\x59\x38\x4f\x74\x77\x35\x63\x4e\x66\x53\x67\x70\x77\x36\x4d\x3d','\x4f\x63\x4f\x4e\x77\x72\x6a\x43\x71\x73\x4b\x78\x54\x47\x54\x43\x68\x73\x4f\x6a\x45\x57\x45\x38\x50\x63\x4f\x63\x4a\x38\x4b\x36','\x55\x38\x4b\x35\x4c\x63\x4f\x74\x77\x70\x56\x30\x45\x4d\x4f\x6b\x77\x34\x37\x44\x72\x4d\x4f\x58','\x48\x4d\x4f\x32\x77\x6f\x48\x43\x69\x4d\x4b\x39\x53\x6c\x58\x43\x6c\x63\x4f\x6f\x43\x31\x6b\x3d','\x61\x73\x4b\x49\x77\x71\x4d\x44\x64\x67\x4d\x75\x50\x73\x4f\x4b\x42\x4d\x4b\x63\x77\x72\x72\x43\x74\x6b\x4c\x44\x72\x4d\x4b\x42\x77\x36\x34\x64','\x77\x71\x49\x6d\x4d\x54\x30\x74\x77\x36\x52\x4e\x77\x35\x6b\x3d','\x44\x4d\x4b\x63\x55\x30\x4a\x6d\x55\x77\x55\x76','\x56\x6a\x48\x44\x6c\x4d\x4f\x48\x56\x63\x4f\x4e\x58\x33\x66\x44\x69\x63\x4b\x4a\x48\x51\x3d\x3d','\x77\x71\x68\x42\x48\x38\x4b\x6e\x77\x34\x54\x44\x68\x53\x44\x44\x67\x4d\x4f\x64\x77\x72\x6a\x43\x6e\x63\x4f\x57\x77\x70\x68\x68\x4e\x38\x4b\x43\x47\x63\x4b\x71\x77\x36\x64\x48\x41\x55\x35\x2b\x77\x72\x67\x32\x4a\x63\x4b\x61\x77\x34\x49\x45\x4a\x63\x4f\x63\x77\x72\x52\x4a\x77\x6f\x5a\x30\x77\x71\x46\x39\x59\x67\x41\x56','\x64\x7a\x64\x32\x77\x35\x62\x44\x6d\x33\x6a\x44\x70\x73\x4b\x33\x77\x70\x59\x3d','\x77\x34\x50\x44\x67\x63\x4b\x58\x77\x6f\x33\x43\x6b\x63\x4b\x4c\x77\x72\x35\x71\x77\x72\x59\x3d','\x77\x72\x4a\x4f\x54\x63\x4f\x51\x57\x4d\x4f\x67','\x77\x71\x54\x44\x76\x63\x4f\x6a\x77\x34\x34\x37\x77\x72\x34\x3d','\x77\x35\x58\x44\x71\x73\x4b\x68\x4d\x46\x31\x2f','
最新发布
04-03
### 如何解码或分析给定的转义字符 `<script>` 代码片段 在 HTML 和 JavaScript 中,`<script>` 标签用于嵌入或引用执行脚本的内容。当遇到需要解析或处理转义字符的情况时,可以通过以下方式来实现。 #### 转义字符的作用 HTML 使用特定的实体名称或数值表示特殊字符,例如 `<` 表示小于号 (`<`)、`>` 表示大于号 (`>`) 等。这些转义字符通常是为了防止浏览器错误解释标签结构[^1]。 #### 解码过程 要将转义后的字符串还原为其实际含义,可以利用 JavaScript 提供的功能完成此操作: ```javascript function decodeHtmlEntities(encodedString) { const textarea = document.createElement('textarea'); textarea.innerHTML = encodedString; return textarea.value; } // 示例调用 const decodedScript = decodeHtmlEntities("<script>document.write(\"<h3>hihihihi</h3>\");</script>"); console.log(decodedScript); ``` 上述函数通过创建一个临时的 DOM 元素(如 `<textarea>`),并设置其 `innerHTML` 值为输入的编码字符串,从而自动触发浏览器对转义字符的解码功能。 #### 安全注意事项 需要注意的是,在动态生成内容的过程中可能会引入安全风险,比如跨站脚本攻击 (XSS)[^2]。为了避免潜在的安全隐患,建议始终验证和清理用户提交的数据,并遵循最佳实践以减少恶意行为的可能性。 #### 将 NodeLists 转换为数组以便进一步处理 如果涉及到复杂的 DOM 操作或者遍历多个节点,则可能需要用到现代 JavaScript 技巧之一——把类数组对象转化为真正的数组形式来进行更灵活的操作[^3]: ```javascript let nodeList = document.querySelectorAll("div"); let arrayFromNodeList = Array.from(nodeList); arrayFromNodeList.forEach((node) => console.log(node.textContent)); ``` 这里展示了另一种更加简洁的方法去获取页面上的所有 div 并打印它们的文字内容。 对于 Java 后端开发者来说,有时候也会接触到类似的序列化/反序列化的概念。像 Lombok 这样的库可以帮助简化 POJO 类定义中的样板代码,使得数据模型更容易维护和扩展[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liberty888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值