Вы сказали WAF?ModSecurity? -- Не смешите)

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг
Вы сказали WAF?ModSecurity? -- Не смешите)

Страница 3 из 4

Опции темы

Поиск в этой теме

Опции просмотра

#21

18.03.2016, 18:35

Mister_Bert0ni

Участник форума

Регистрация: 10.05.2015

Сообщений: 142

С нами: 5795606

Репутация: 57

Цитата:

Сообщение от winstrool

↑
Данная статья, является переводом той статьи, что указал
smik на ссылку....

Первоисточиник указал одним постом выше.

#22

18.03.2016, 18:35

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

С нами: 9721141

Репутация: 1013

я про доки MySQL говорил

#23

18.03.2016, 18:47

Mister_Bert0ni

Участник форума

Регистрация: 10.05.2015

Сообщений: 142

С нами: 5795606

Репутация: 57

Цитата:

Сообщение от yarbabin

↑
я про доки MySQL говорил

А какие ж тут доки?Строковое представление символов в MySQL запросе с помощью escape символа.

Подробнее можно тут почитать:

Код:

http://www.mysql.ru/docs/man/String_syntax.html

#24

18.03.2016, 19:18

t0ma5

Постоянный

Регистрация: 10.02.2012

Сообщений: 830

С нами: 7502006

Репутация: 90

по поводу information_schema 9.e.tables = information_schema.tables

заметил что и такой запрос отрабатывает(пробел между именем бд и таблицей), mysql 5.6

Код:

root@000> select 777 from information_schema .tables limit 1;
+-----+
| 777 |
+-----+
| 777 |
+-----+
1 row in set (0.03 sec)

#25

18.03.2016, 19:18

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

С нами: 9721141

Репутация: 1013

Цитата:

Сообщение от yarbabin

↑
первое правило waf bypass - не говорить о waf bypass
первый раз услышал. есть ссылка на доки?

я вот об этом. нигде не расписано, что это и откуда

#26

18.03.2016, 19:19

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

С нами: 9721141

Репутация: 1013

Цитата:

Сообщение от t0ma5

↑
по поводу information_schema 9.e.tables = information_schema.tables
заметил что и такой запрос отрабатывает(пробел между именем бд и таблицей), mysql 5.6

Код:

root@000> select 777 from information_schema .tables limit 1;
+-----+
| 777 |
+-----+
| 777 |
+-----+
1 row in set (0.03 sec)

да, там много вариантов, НО КРУТО ЗНАТЬ ЧТО ЭТО ТАКОЕ

#27

18.03.2016, 19:29

t0ma5

Постоянный

Регистрация: 10.02.2012

Сообщений: 830

С нами: 7502006

Репутация: 90

Цитата:

Сообщение от yarbabin

↑
да, там много вариантов, НО КРУТО ЗНАТЬ ЧТО ЭТО ТАКОЕ

да признаюсь я не понимаю лексикона мускула)

ходят слухи что уже никто его толком не знает

#28

25.12.2018, 15:46

grimnir

Познавший АНТИЧАТ

Регистрация: 23.04.2012

Сообщений: 1,109

С нами: 7396886

Репутация: 231

подниму тему т.к актуально. Автор обходит Sucuri PL 3 ,CF тариф PRO. Полезно как вектор для размышления

https://www.secjuice.com/web-applica...l-waf-evasion/

https://medium.com/secjuice/waf-evas...s-718026d693d8

https://medium.com/secjuice/web-appl...2-125995f3e7b0

Bypass a WAF by Positive Technologyhttps://www.ptsecurity.com/upload/co...CC-WAF-ENG.pdf

#29

25.12.2018, 16:31

cat1vo

Новичок

Регистрация: 12.08.2009

Сообщений: 1

С нами: 8814194

Репутация: 0

Дополню:

How To Exploit PHP Remotely To Bypass Filters & WAF Rules

#30

29.03.2022, 18:01

eminlayer7788

Участник форума

Регистрация: 31.07.2015

Сообщений: 111

С нами: 5677526

Репутация: 1

Writeup on bypassing ModSecurity WAF for SQLi

https://blog.h3xstream.com/2021/10/b...urity-waf.html

Страница 3 из 4

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход