Come posso usare SQLMAP per eseguire test su un sito Web con un WAF / IDS? Supponiamo che voglio eseguire qualcosa del genere:
python sqlmap.py -u http://www.xxxxxxxxxxxxxx.com/standard.html&id=30 --dbs
Come posso testare WAF / ID in qu...
Sto provando a usare il protocollo Chunked e il protocollo multipart in una richiesta POST, come questa
Tutti i simboli di nuova riga sono \r\n , ad es.
POST http://127.0.0.1/print.php?a=1&b=2 HTTP/1.1
accept-language: *
transfer-en...
Il nostro sito web di lavoro si sta inondando di questi tipi di hack:
I file vengono caricati su tutto il sito (non solo l'url mostrato nell'immagine). Il mio sito è ancora attivo e funzionante, per quanto posso dire. Come posso risolve...
Lavorare su una regola per bloccare il traffico in base al carattere iniziale di ARGS_NAMES o cookie, ottenere o pubblicare
Esempio di permesso
name=Joe
Blocco di esempio
#name=Joe
Regola di prova che non funziona
SecRule AR...
Quali sono le best practice di sicurezza per determinare se WAF dovrebbe reindirizzare il traffico Internet verso la rete cloud come crittografato o non crittografato?
Sto creando un elenco di strumenti per il fingerprinting di waf.
Ho installato il plugin waf-detect da bapp store in burpsuite.
Questo plug-in viene eseguito in background e crea problemi di scanner passivi quando vengono rilevate tracce WAF...
Stavo leggendo un articolo su " Evasione a livello di protocollo dei firewall dell'applicazione Web " e l'articolo insistere sulla scrittura di regole specifiche per l'applicazione in questo modo:
<Location /index.php>
SecDefaultAction p...
Stavo ripetendo un sito web quando ho scoperto che l'URL includeva il parametro id . Per questo motivo, sapevo che il parametro id potrebbe essere vulnerabile a SQLi. Ho ricevuto una risposta 200 e non ho trovato alcun segno del su...
I want to use Mod Security as transparent mode. Mod security WAF should be between server and client and client provided with only server's ip address to access the site. The client should not aware about the presence of Mod security since it...
Ho scritto script per identificare i WAF sui siti Web e ne ho trovato uno che appare, MOLTO.
L'HTML appare sempre così:
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't hav...