URL黑名单 扫描工具ua特征 GET(args)参数检查 cookie黑名单 POST参数检查参考代码
资源宝分享www.httple.net
文章目录
- URL黑名单
- 扫描工具ua特征
- GET(args)参数检查
- cookie黑名单
- POST参数检查
注:请先检查是否已设置URL白名单,若已设置URL白名单,URL黑名单设置将失效
- 多个URL配置需换行,一行只允许填写一个。可直接填写完整URL,或使用正则通配符。
- 如何设置 ua黑名单?详情请看文档如何过滤常用扫描工具的ua
- 如何设置cookie黑名单?例:[^%w]_user
- 检查post参数是否存在风险,例:\sor\s+.=.*,匹配 ’ or 1=1 ,防止sql注入
- 设置多个get args黑名单 需换行,一行只允许填写一个args
URL黑名单
\.(svn|htaccess|bash_history|rewrite.conf|user.ini)
防止svn、htacess、bash_history 文件被窥探
\.(bak|inc|old|mdb|sql|backup|java|class)$
防止一些中间文件和源码被窥探
(vhost|bbs|host|wwwroot|www|site|root|hytop).*\.(rar|tar.gz|zip|tar|7z)
防止站点内压缩包被访问
(jmx-console|jmxinvokerservlet)
防止jmx性能工具被访问
java\.lang
防止java反射攻击
/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)
防止远程执行php、jsp代码,常用
扫描工具ua特征
(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench| SF/)
过滤常用扫描工具的ua
GET(args)参数检查
args参数
\.\./
禁用包含 …/ 的参数
args参数
\:\$
禁用变量取值符号
args参数
\$\{
防止mybatis注入
args参数
\<\?
禁止php脚本出现
args参数
\<\%
禁止jsp脚本出现
args参数
\s*or\s+.*=.*
匹配’ or 1=1 ,防止sql注入
args参数
select([\s\S]*?)(from|limit)
防止sql注入
args参数
(?:(union([\s\S]*?)select))
防止sql注入
args参数
having|updatexml|extractvalue
防止sql注入
args参数
sleep\((\s*)(\d*)(\s*)\)
防止sql盲注
args参数
benchmark\((.*)\,(.*)\)
防止sql盲注
args参数
base64_decode\(
防止sql变种注入
args参数
(?:from\W+information_schema\W)
防止sql注入
args参数
(?:(?:current_)user|user|database|schema|connection_id)\s*\(
防止sql注入
args参数
(?:etc\/\W*passwd)
防止窥探linux用户信息
args参数
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
args参数
group\s+by.+\(
防止sql注入
args参数
xwork.MethodAccessor
防止structs2远程执行方法
args参数
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
禁用webshell相关某些函数
args参数
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
防止一些协议攻击
args参数
java\.lang
防止java反射攻击
args参数
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
禁用一些内置变量,建议自行修改
args参数
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
防止xss标签植入
args参数
(onmouseover|onerror|onload)\=
防止xss事件植入
args参数
\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)
防止执行shell
args参数
\s*and\s+.*=.*
匹配 and 1=1
cookie黑名单
cookie黑名单
\.\./
禁用包含 …/ 的参数
cookie黑名单
\:\$
禁用变量取值符号
cookie黑名单
\$\{
防止mybatis注入
cookie黑名单
\<\?
禁止php脚本出现
cookie黑名单
\<\%
禁止jsp脚本出现
cookie黑名单
\s*or\s+.*=.*
匹配’ or 1=1 ,防止sql注入
cookie黑名单
select([\s\S]*?)(from|limit)
防止sql注入
cookie黑名单
(?:(union([\s\S]*?)select))
防止sql注入
cookie黑名单
having|updatexml|extractvalue
防止sql注入
cookie黑名单
sleep\((\s*)(\d*)(\s*)\)
防止sql盲注
cookie黑名单
benchmark\((.*)\,(.*)\)
防止sql盲注
cookie黑名单
base64_decode\(
防止sql变种注入
cookie黑名单
(?:from\W+information_schema\W)
防止sql注入
cookie黑名单
(?:(?:current_)user|user|database|schema|connection_id)\s*\(
防止sql注入
cookie黑名单
(?:etc\/\W*passwd)
防止窥探linux用户信息
cookie黑名单
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
cookie黑名单
group\s+by.+\(
防止sql注入
cookie黑名单
xwork.MethodAccessor
防止structs2远程执行方法
cookie黑名单
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
禁用webshell相关某些函数
cookie黑名单
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
防止一些协议攻击
cookie黑名单
java\.lang
防止java反射攻击
cookie黑名单
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
禁用一些内置变量,建议自行修改
cookie黑名单
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
防止xss标签植入
cookie黑名单
(onmouseover|onerror|onload)\=
防止xss事件植入
cookie黑名单
\s*and\s+.*=.*
匹配 and 1=1
POST参数检查
post参数
\.\./
禁用包含 …/ 的参数
post参数
\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)
防止执行shell
post参数
\:\$
禁用变量取值符号
post参数
\$\{
防止mybatis注入
post参数
\<\?
禁止php脚本出现
post参数
\<\%
禁止jsp脚本出现
post参数
\s*or\s+.*=.*
匹配’ or 1=1 ,防止sql注入
post参数
select([\s\S]*?)(from|limit)
防止sql注入
post参数
(?:(union([\s\S]*?)select))
防止sql注入
post参数
having|updatexml|extractvalue
防止sql注入
post参数
sleep\((\s*)(\d*)(\s*)\)
防止sql盲注
post参数
benchmark\((.*)\,(.*)\)
防止sql盲注
post参数
base64_decode\(
防止sql变种注入
post参数
(?:from\W+information_schema\W)
防止sql注入
post参数
(?:(?:current_)user|user|database|schema|connection_id)\s*\(
防止sql注入
post参数
(?:etc\/\W*passwd)
防止窥探linux用户信息
post参数
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
post参数
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
post参数
xwork.MethodAccessor
防止structs2远程执行方法
post参数
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
禁用webshell相关某些函数
post参数
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
防止一些协议攻击
post参数
java\.lang
防止java反射攻击
post参数
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
禁用一些内置变量,建议自行修改
post参数
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
防止xss标签植入
post参数
(onmouseover|onerror|onload)\=
防止xss事件植入
post参数
\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)
防止执行shell
post参数
\s*and\s+.*=.*
匹配 and 1=1
相关文章:
URL黑名单 扫描工具ua特征 GET(args)参数检查 cookie黑名单 POST参数检查参考代码
资源宝分享www.httple.net 文章目录URL黑名单扫描工具ua特征GET(args)参数检查cookie黑名单POST参数检查注:请先检查是否已设置URL白名单,若已设置URL白名单,URL黑名单设置将失效 多个URL配置需换行,一行只允许填写一个。可直接填…...
【软考系统架构设计师】2022下论文写作历年真题
【软考系统架构设计师】2022下论文写作历年真题 试题四 论湖仓一体架构及其应用(75分) 试题四 论湖仓一体架构及其应用 随着5G、大数据、人工智能、物联网等技术的不断成熟,各行各业的业务场景日益复杂,企业数据呈现出大规模、多…...
推荐3个好用的scrum敏捷项目管理工具
结合对工具的了解和使用心得,介绍在管理scrum中常见的一些工具基础的scrum工具:1、物理白板物理白板是实施scrum最简单直接的方式。之前我也说过,一些利弊。数据不能够沉淀等等。2、Excel表格表格的形式就是如果多人编辑时,不能实…...
每日学术速递2.17
CV - 计算机视觉 | ML - 机器学习 | RL - 强化学习 | NLP 自然语言处理 Subjects: cs.LG 1.Decoupled Model Schedule for Deep Learning Training 标题:深度学习训练的解耦模型时间表 作者:Hongzheng Chen, Cody Hao Yu, Shuai Zheng, Zhen Zhang,…...
ElementUI`resetFields()`方法避坑
使用ElementUI中的resetFields()方法有哪些注意点 场景一 场景一:当编辑弹出框和新增弹出框共用时,编辑数据后关闭编辑弹出框时调用this.$refs.form.resetFields()无法清空弹出框 问题代码: // 点击新增按钮handleAdd() {this.dialogVi…...
如何保证数据库和缓存双写一致性?
前言 数据库和缓存(比如:redis)双写数据一致性问题,是一个跟开发语言无关的公共问题。尤其在高并发的场景下,这个问题变得更加严重。 我很负责的告诉大家,该问题无论在面试,还是工作中遇到的概率…...
Hinge Loss 和 Zero-One Loss
文章目录Hinge Loss 和 Zero-One LossHinge LossZero-One LossHinge Loss 和 Zero-One Loss 维基百科:https://en.wikipedia.org/wiki/Hinge_loss 图表说明: 纵轴表示固定 t1t1t1 的 Hinge loss(蓝色)和 Zero-One Lossÿ…...
Linux下zabbix_proxy实施部署
简介 zabbix proxy 可以代替 zabbix server 收集性能和可用性数据,然后把数据汇报给 zabbix server,并且在一定程度上分担了zabbix server 的压力. zabbix-agent可以指向多个proxy或者server zabbix-proxy不能指向多个server zabbix proxy 使用场景: 1,监控远程区…...
Rust之错误处理(二):带结果信息的可恢复错误
开发环境 Windows 10Rust 1.67.1VS Code 1.75.1项目工程 这里继续沿用上次工程rust-demo 带结果信息的可恢复错误 大多数错误并没有严重到需要程序完全停止的程度。有时,当一个函数失败时,它的原因是你可以很容易地解释和应对的。例如,如…...
[ vulhub漏洞复现篇 ] Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920)
🍬 博主介绍 👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 养成习…...
如何将数据库结构导入到word
在navicat执行查询语句 SELECT COLUMN_NAME 备注, COLUMN_COMMENT 名称, COLUMN_TYPE 数据类型, false as 是键 FROM INFORMATION_SCHEMA.COLUMNS where -- wx 为数据库名称,到时候只需要修改成你要导出表结构的数据库即可 table_schema yuncourt_ai AND -- articl…...
FreeRTOS内存管理 | FreeRTOS十五
目录 说明: 一、FreeRTOS内存管理 1.1、动态分配与用户分配内存空间 1.2、标准C库动态分配内存缺点 1.3、FreeRTOS的五种内存管理算法优缺点 1.4、heap_1内存管理算法 1.5、heap_2内存管理算法 1.6、heap_3内存管理算法 1.7、heap_4内存管理算法 1.8、hea…...
【数字电路】数字电路的学习核心
文章目录前言一、电子电路知识体系二、数电的学习目标三、数字电路分析例子四、数字电路设计例子总结前言 用数字信号完成对数字量进行算术运算和逻辑运算的电路称为数字电路,或数字系统。由于它具有逻辑运算和逻辑处理功能,所以又称数字逻辑电路。现代…...
day45【代码随想录】动态规划之完全平方数、单词拆分、打家劫舍、打家劫舍 II
文章目录前言一、完全平方数(力扣279)二、单词拆分(力扣139)三、打家劫舍(力扣198)四、打家劫舍 II前言 1、完全平方数 2、单词拆分 3、打家劫舍 4、打家劫舍 II 一、完全平方数(力扣279&#…...
java程序,springboot程序 找不到主类,找不到符号解决思路
文章目录问题解决方案一.可以尝试clean掉maven依赖,然后重新启动二.右键工程,选择maven然后重新加载工程,接着再启动试试三.删掉工程中的services.iml文件,重新配置后接着再启动试试四. 终极方案清除idea缓存,重启idea…...
AntD-tree组件使用详析
目录 一、selectedKeys与onSelect 官方文档 代码演示 onSelect 注意事项 二、expandedKeys与onExpand 官方文档 代码演示 onExpand 注意事项 三、loadedKeys与onLoad和onExpand 官方文档 代码演示 onExpand与onLoad: 注意事项 四、loadData …...
spring的事务控制
1.调用这个方法的对象是否是spring的代理对象($CGLIB结尾的) 2.这个方法是否是加了Transactional注释 都符合才可以被事物控制 如果调用方法的对象没有被事物控制,那么被调用的方法即便是加了Transactional也是没用的 事务失效情况…...
4.如何靠IT逆袭大学?
学习的动力不止于此: IT逆袭 这两天利用工作空余时间读了贺利坚老师的《逆袭大学——传给 IT 学子的正能量》,感触很多,有些后悔没有好好利用大学时光。 不过人都是撞了南墙再回头的,吃一堑长一智。 这本书无论你是工作了还是…...
提供网络可测试的接口【公共Webservice】
提供网络可测试的接口 1、腾讯QQ在线状态 WEB 服务 Endpoint: qqOnlineWebService Web 服务 Disco: http://www.webxml.com.cn/webservices/qqOnlineWebService.asmx?disco WSDL: http://www.webxml.com.cn/webservices/qqOnlineWebService.asmx?wsdl 腾讯QQ在线状态 WEB 服…...
【深入理解计算机系统】库打桩 - 阅读笔记
文章目录库打桩机制1. 编译时打桩2. 链接时打桩3. 运行时打桩库打桩机制 Linux 链接器支持一个很强大的技术,称为库打桩 (library interpositioning),它允许你截获对共享库函数的调用,取而代之执行自己的代码。使用打桩机制,你可以…...
Python爬虫实战:研究MechanicalSoup库相关技术
一、MechanicalSoup 库概述 1.1 库简介 MechanicalSoup 是一个 Python 库,专为自动化交互网站而设计。它结合了 requests 的 HTTP 请求能力和 BeautifulSoup 的 HTML 解析能力,提供了直观的 API,让我们可以像人类用户一样浏览网页、填写表单和提交请求。 1.2 主要功能特点…...
测试微信模版消息推送
进入“开发接口管理”--“公众平台测试账号”,无需申请公众账号、可在测试账号中体验并测试微信公众平台所有高级接口。 获取access_token: 自定义模版消息: 关注测试号:扫二维码关注测试号。 发送模版消息: import requests da…...
Docker 离线安装指南
参考文章 1、确认操作系统类型及内核版本 Docker依赖于Linux内核的一些特性,不同版本的Docker对内核版本有不同要求。例如,Docker 17.06及之后的版本通常需要Linux内核3.10及以上版本,Docker17.09及更高版本对应Linux内核4.9.x及更高版本。…...
鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个医院挂号小程序
一、开发准备 环境搭建: 安装DevEco Studio 3.0或更高版本配置HarmonyOS SDK申请开发者账号 项目创建: File > New > Create Project > Application (选择"Empty Ability") 二、核心功能实现 1. 医院科室展示 /…...
【C++从零实现Json-Rpc框架】第六弹 —— 服务端模块划分
一、项目背景回顾 前五弹完成了Json-Rpc协议解析、请求处理、客户端调用等基础模块搭建。 本弹重点聚焦于服务端的模块划分与架构设计,提升代码结构的可维护性与扩展性。 二、服务端模块设计目标 高内聚低耦合:各模块职责清晰,便于独立开发…...
MySQL用户和授权
开放MySQL白名单 可以通过iptables-save命令确认对应客户端ip是否可以访问MySQL服务: test: # iptables-save | grep 3306 -A mp_srv_whitelist -s 172.16.14.102/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.4.16/32 -p tcp -m tcp -…...
听写流程自动化实践,轻量级教育辅助
随着智能教育工具的发展,越来越多的传统学习方式正在被数字化、自动化所优化。听写作为语文、英语等学科中重要的基础训练形式,也迎来了更高效的解决方案。 这是一款轻量但功能强大的听写辅助工具。它是基于本地词库与可选在线语音引擎构建,…...
sipsak:SIP瑞士军刀!全参数详细教程!Kali Linux教程!
简介 sipsak 是一个面向会话初始协议 (SIP) 应用程序开发人员和管理员的小型命令行工具。它可以用于对 SIP 应用程序和设备进行一些简单的测试。 sipsak 是一款 SIP 压力和诊断实用程序。它通过 sip-uri 向服务器发送 SIP 请求,并检查收到的响应。它以以下模式之一…...
C++.OpenGL (20/64)混合(Blending)
混合(Blending) 透明效果核心原理 #mermaid-svg-SWG0UzVfJms7Sm3e {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-SWG0UzVfJms7Sm3e .error-icon{fill:#552222;}#mermaid-svg-SWG0UzVfJms7Sm3e .error-text{fill…...
脑机新手指南(七):OpenBCI_GUI:从环境搭建到数据可视化(上)
一、OpenBCI_GUI 项目概述 (一)项目背景与目标 OpenBCI 是一个开源的脑电信号采集硬件平台,其配套的 OpenBCI_GUI 则是专为该硬件设计的图形化界面工具。对于研究人员、开发者和学生而言,首次接触 OpenBCI 设备时,往…...
