⚫️بایپس کردن فیلترهای XSS با تابع Replace
تابع replace() در جاوا اسکریپت به طور پیشفرض تنها اولین نمونه از رشته منطبق را جایگزین میکند، بنابراین افزودن کاراکترهای اضافی که میخواهد در ابتدای بار شما جایگزین شود، فیلتر XSS را بهطور کامل دور میزند.
#XSS #WAF #Bypass #JS
@TryHackBox
@TryHackBoxOfficial > ( Roadmap )
تابع replace() در جاوا اسکریپت به طور پیشفرض تنها اولین نمونه از رشته منطبق را جایگزین میکند، بنابراین افزودن کاراکترهای اضافی که میخواهد در ابتدای بار شما جایگزین شود، فیلتر XSS را بهطور کامل دور میزند.
#XSS #WAF #Bypass #JS
@TryHackBox
@TryHackBoxOfficial > ( Roadmap )
👍2🔥1
⚫️ بایپس فایروال برنامه وب (WAF) با استفاده از Globbing
بش میتواند بسط نام فایل را انجام دهد، پروسسی به نام globbing ، اما از مجموعه استاندارد عبارات منظم استفاده نمیکند.
اگر یک WAF (فایروال برنامه وب) وجود دارد که پیلودهای RCE (اجرای کد از راه دور) و LFI (شامل فایل محلی) را فیلتر می کند، می توانید با استفاده از جایگزینی آن را بایپس کنید.
در اینجا یک مثال است:
#Web #WAF
@TryHackBox
@TryHackBoxOfficial
بش میتواند بسط نام فایل را انجام دهد، پروسسی به نام globbing ، اما از مجموعه استاندارد عبارات منظم استفاده نمیکند.
اگر یک WAF (فایروال برنامه وب) وجود دارد که پیلودهای RCE (اجرای کد از راه دور) و LFI (شامل فایل محلی) را فیلتر می کند، می توانید با استفاده از جایگزینی آن را بایپس کنید.
در اینجا یک مثال است:
/usr/bin/cat /etc/passwd == /???/???/c?t$IFS/?t?/p?s?wdبه عنوان مثال، تمام ورودی های زیر باید "
? = هر واحد
* = هر رشته ای، از جمله رشته های با طول صفر!
$IFS = جداکننده فیلد داخلی در سیستم های یونیکس = فضا، تب یا خط جدید
/bin/cat /etc/passwd" را در یک سیستم لینوکس معمولی اجرا کنند:/*/?at$IFS/???/???swdمی تونی امتحانش کنی!
/****/?at$IFS/???/*swd
/****/?at$IFS/???/*******swd
#Web #WAF
@TryHackBox
@TryHackBoxOfficial
👍1
🖥 مخزن: WAFW00F - تشخیص WAF
WAFW00F
ابزاری است که به طور خاص برای شناسایی برنامه های کاربردی وب محافظت شده توسط فایروال وب (WAF) طراحی شده است. توانایی شناسایی انواع فایروال های وب را فراهم می کند.
- این ابزار دارای عملکرد گسترده ای برای تشخیص انواع مختلف WAF و تنظیمات آنها است. این به شما امکان می دهد امنیت برنامه های کاربردی وب را تجزیه و تحلیل کنید و آسیب پذیری های مرتبط با عملکرد فایروال های وب را شناسایی کنید.
#WAF #HTTP
https://github.com/EnableSecurity/wafw00f
@TryHackBox
WAFW00F
ابزاری است که به طور خاص برای شناسایی برنامه های کاربردی وب محافظت شده توسط فایروال وب (WAF) طراحی شده است. توانایی شناسایی انواع فایروال های وب را فراهم می کند.
- این ابزار دارای عملکرد گسترده ای برای تشخیص انواع مختلف WAF و تنظیمات آنها است. این به شما امکان می دهد امنیت برنامه های کاربردی وب را تجزیه و تحلیل کنید و آسیب پذیری های مرتبط با عملکرد فایروال های وب را شناسایی کنید.
#WAF #HTTP
https://github.com/EnableSecurity/wafw00f
@TryHackBox
👎1
🛡 بررسی WAF در برابر RASP: قفل در مقابل محافظ داخلی! مقایسه کامل دو غول امنیت برنامههای تحت وب
🔗 youtube:
https://youtu.be/42VhC4Er0pE
@TryHackBox
#TryHackBox #WAF #RASP #Network #Security #آموزش #امنیت
🔗 youtube:
https://youtu.be/42VhC4Er0pE
@TryHackBox
#TryHackBox #WAF #RASP #Network #Security #آموزش #امنیت
🔥3
WAF_VS_RASP.pdf
677.4 KB
در ویدیو یوتیوب، به مقایسه تئوریک و دقیق دو فناوری کلیدی امنیت برنامههای تحت وب میپردازیم: فایروال برنامه تحت وب (WAF) و محافظت خودکار اپلیکیشن در زمان اجرا (RASP). 🔥
@TryHackBox
#TryHackBox #WAF #RASP #Network #Security #آموزش #امنیت
@TryHackBox
#TryHackBox #WAF #RASP #Network #Security #آموزش #امنیت
❤2