网络攻防学习笔记 Day5
Web 应用框架(Web application framework)是用来支持动态网站、网络应用程序及网络服务的开发。这种框架有助于减轻网页开发时共通性活动的工作负荷。
Apache Struts 2 是一个用于开发 Java EE 网络应用程序的开放源代码网页应用程序架构。它利用并延伸了 Java Servlet API,鼓励开发者采用 MVC 架构。
WordPress 是使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站,也可以把 WordPress 当作一个内容管理系统(CMS)来使用。
WordPress 的漏洞一般分为 CMS 本身漏洞和插件漏洞。
织梦内容管理系统,是国内最知名的 PHP 开源网站管理系统,以简单、实用和开源而闻名,是使用用户最多的 PHP 类 CMS 系统。官网地址为“http://www.dedecms.com”。
Drupal 是使用 PHP 语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和 PHP 开发框架(Framework)共同构成,官网地址为“https://www.drupal.org”。
WAF 对于一些常规漏洞(如注入漏洞、XSS 漏洞、命令执行漏洞、文件包含漏洞等)的检测大多是基于“正则表达式”和“AI+规则”的方法,因此会有一定的概率绕过其防御。
在绕过 WAF 的测试中,有很多的方法可以使用,以下为例举的 12 项常用方法:
(1)大小写绕过。
(2)注释符绕过。
(3)编码绕过。
(4)分块传输绕过。
(5)使用空字节绕过。
(6)关键字替换绕过。
(7)HTTP 协议覆盖绕过。
(8)白名单 IP 绕过。
(9)真实 IP 绕过。
(10)Pipline 绕过。
(11)参数污染绕过。
(12)溢出 WAF 绕过。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/3f77198759e5a906e339822ea】。文章转载请联系作者。
评论