网络攻防学习笔记 Day5

Web 应用框架（Web application framework）是用来支持动态网站、网络应用程序及网络服务的开发。这种框架有助于减轻网页开发时共通性活动的工作负荷。

Apache Struts 2 是一个用于开发 Java EE 网络应用程序的开放源代码网页应用程序架构。它利用并延伸了 Java Servlet API，鼓励开发者采用 MVC 架构。

WordPress 是使用 PHP 语言开发的博客平台，用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站，也可以把 WordPress 当作一个内容管理系统（CMS）来使用。

WordPress 的漏洞一般分为 CMS 本身漏洞和插件漏洞。

织梦内容管理系统，是国内最知名的 PHP 开源网站管理系统，以简单、实用和开源而闻名，是使用用户最多的 PHP 类 CMS 系统。官网地址为“http://www.dedecms.com”。

Drupal 是使用 PHP 语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和 PHP 开发框架（Framework）共同构成，官网地址为“https://www.drupal.org”。

WAF 对于一些常规漏洞（如注入漏洞、XSS 漏洞、命令执行漏洞、文件包含漏洞等）的检测大多是基于“正则表达式”和“AI+规则”的方法，因此会有一定的概率绕过其防御。

在绕过 WAF 的测试中，有很多的方法可以使用，以下为例举的 12 项常用方法：

（1）大小写绕过。

（2）注释符绕过。

（3）编码绕过。　

（4）分块传输绕过。

（5）使用空字节绕过。

（6）关键字替换绕过。

（7）HTTP 协议覆盖绕过。　

（8）白名单 IP 绕过。

（9）真实 IP 绕过。　

（10）Pipline 绕过。　

（11）参数污染绕过。　

（12）溢出 WAF 绕过。