#waf
WAF глазами хакеров
Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем основываются и как работают современные WAF, какие существуют способы обхода и bypass-техники, как их применять, а также почему ни в коем случае не стоит всецело полагаться на WAF. Мы представим свой взгляд пентестеров, которые никогда не принимали участие в разработке WAF и которые собирали информацию из открытых источников и на основе своего опыта, поэтому о некоторых тонкостях работы WAF мы можем даже и не подозревать.
Источник: https://habr.com/ru/company/dsec/blog/340144/
WAF глазами хакеров
Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем основываются и как работают современные WAF, какие существуют способы обхода и bypass-техники, как их применять, а также почему ни в коем случае не стоит всецело полагаться на WAF. Мы представим свой взгляд пентестеров, которые никогда не принимали участие в разработке WAF и которые собирали информацию из открытых источников и на основе своего опыта, поэтому о некоторых тонкостях работы WAF мы можем даже и не подозревать.
Источник: https://habr.com/ru/company/dsec/blog/340144/
Хабр
WAF глазами хакеров
Привет, Хабр! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем осно...
#web
#waf
#bypass
Обход WAF через большое количество символов
Если Вы столкнулись с WAF, то для POST, PUT или PATCH запросов попробуйте вставить в параметр бесполезные символы с произвольными данными, размером от 8 КБ до 10 МБ, ПЕРЕД Вашей вредоносной полезной нагрузкой.
Некоторые WAF прекращают обработку после X символов полезной нагрузки, разрешая все ПОСЛЕ этого. Рандомные символы можно сгенерировать по ссылке: https://onlinefiletools.com/generate-random-text-file.
#waf
#bypass
Обход WAF через большое количество символов
Если Вы столкнулись с WAF, то для POST, PUT или PATCH запросов попробуйте вставить в параметр бесполезные символы с произвольными данными, размером от 8 КБ до 10 МБ, ПЕРЕД Вашей вредоносной полезной нагрузкой.
Некоторые WAF прекращают обработку после X символов полезной нагрузки, разрешая все ПОСЛЕ этого. Рандомные символы можно сгенерировать по ссылке: https://onlinefiletools.com/generate-random-text-file.
Onlinefiletools
Create a Random Text File - Online File Tools
This utility creates text files with random contents. You can customize the file size and adjust what goes in the file. Try it out!
#waf
#web_application_firewall
#bypass
Основные приемы обхода брандмауэра веб-приложений (WAF).
Здравствуйте, дорогие друзья.
Обход брандмауэра веб-приложений (WAF) — обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако его также можно использовать для блокировки легитимных запросов, например, от сканеров поисковых систем. В этой статье мы обсудим, как обойти WAF и методы, используемые для этого.
Подробнее: https://timcore.ru/2023/02/24/osnovnye-priemy-obhoda-brandmaujera-veb-prilozhenij-waf/
#web_application_firewall
#bypass
Основные приемы обхода брандмауэра веб-приложений (WAF).
Здравствуйте, дорогие друзья.
Обход брандмауэра веб-приложений (WAF) — обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако его также можно использовать для блокировки легитимных запросов, например, от сканеров поисковых систем. В этой статье мы обсудим, как обойти WAF и методы, используемые для этого.
Подробнее: https://timcore.ru/2023/02/24/osnovnye-priemy-obhoda-brandmaujera-veb-prilozhenij-waf/
Этичный хакинг с Михаилом Тарасовым (Timcore)
Основные приемы обхода брандмауэра веб-приложений (WAF). - Этичный хакинг с Михаилом Тарасовым (Timcore)
Обход брандмауэра веб-приложений (WAF) - обычная проблема для веб-разработчиков и специалистов по безопасности. WAF предназначен для защиты веб-приложений от вредоносных атак, таких как SQL-инъекции, межсайтовый скриптинг, и других вредоносных действий. Однако…
#kali_linux
#waf
#59 Kali Linux для продвинутого тестирования на проникновение. Обнаружение брандмауэра веб-приложений и балансировщиков нагрузки.
Здравствуйте, дорогие друзья.
Следующим шагом является определение наличия сетевых защитных устройств, таких как брандмауэры и IDS/IPS, для того, чтобы выявлять любые мошеннические технологии (honeypots). Все более распространенное защитное устройство — это брандмауэр веб-приложений (WAF) и сеть доставки содержимого DNS (CDN). Если используется WAF, тестировщики должны убедиться, что атаки, особенно те, которые полагаются на созданный ввод, кодируются для обхода WAF.
Подробнее: https://timcore.ru/2023/03/13/59-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-obnaruzhenie-brandmaujera-veb-prilozhenij-i-balansirovshhikov-nagruzki/
#waf
#59 Kali Linux для продвинутого тестирования на проникновение. Обнаружение брандмауэра веб-приложений и балансировщиков нагрузки.
Здравствуйте, дорогие друзья.
Следующим шагом является определение наличия сетевых защитных устройств, таких как брандмауэры и IDS/IPS, для того, чтобы выявлять любые мошеннические технологии (honeypots). Все более распространенное защитное устройство — это брандмауэр веб-приложений (WAF) и сеть доставки содержимого DNS (CDN). Если используется WAF, тестировщики должны убедиться, что атаки, особенно те, которые полагаются на созданный ввод, кодируются для обхода WAF.
Подробнее: https://timcore.ru/2023/03/13/59-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-obnaruzhenie-brandmaujera-veb-prilozhenij-i-balansirovshhikov-nagruzki/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#59 Kali Linux для продвинутого тестирования на проникновение. Обнаружение брандмауэра веб-приложений и балансировщиков нагрузки.…
Следующим шагом является определение наличия сетевых защитных устройств, таких как брандмауэры и IDS/IPS, для того, чтобы выявлять любые мошеннические технологии (honeypots). Все более распространенное защитное устройство - это брандмауэр веб-приложений (WAF)…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#pentest
#waf
WAF на коленях: как громить защиту веб-приложений с минимальными танцами
Вступление — зачем нам этот WAF вообще?
WAF (Web Application Firewall) — как тюремная решётка у веб-приложения. Он фильтрует запросы, блокирует инъекции, XSS и всякую рухлядь, чтобы ты не ломанулся к базе или шеллу. Но, это не значит, что он несокрушим. WAF — это как лабиринт с ловушками, и нам нужно прокрасться, чтобы отжать juicy данные.
Сегодня мы разберём реальные техники обхода трёх популярнейших WAF: ModSecurity, Cloudflare, AWS WAF. Будет много обфускаций, HTTP сплитов и грязных приёмов.
Подробнее: https://timcourse.ru/waf-na-kolenyah-kak-gromit-zashhitu-veb-prilozhenij-s-minimalnymi-tanczami/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#waf
WAF на коленях: как громить защиту веб-приложений с минимальными танцами
Вступление — зачем нам этот WAF вообще?
WAF (Web Application Firewall) — как тюремная решётка у веб-приложения. Он фильтрует запросы, блокирует инъекции, XSS и всякую рухлядь, чтобы ты не ломанулся к базе или шеллу. Но, это не значит, что он несокрушим. WAF — это как лабиринт с ловушками, и нам нужно прокрасться, чтобы отжать juicy данные.
Сегодня мы разберём реальные техники обхода трёх популярнейших WAF: ModSecurity, Cloudflare, AWS WAF. Будет много обфускаций, HTTP сплитов и грязных приёмов.
Подробнее: https://timcourse.ru/waf-na-kolenyah-kak-gromit-zashhitu-veb-prilozhenij-s-minimalnymi-tanczami/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Авторские курсы Михаила Тарасова
WAF на коленях: как громить защиту веб-приложений с минимальными танцами — Авторские курсы Михаила Тарасова
WAF (Web Application Firewall) — как тюремная решётка у веб-приложения. Он фильтрует запросы, блокирует инъекции, XSS и всякую рухлядь, чтобы ты не ломанулся к базе или шеллу. Но, это не значит, что он несокрушим. WAF — это как лабиринт с ловушками, и нам…
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#exploit
#xxe
#waf
XXE 2025: Атаки через SVG/PDF и война с WAF
🔥 XXE Evolution: Почему SVG и PDF?
Современные WAF научились детектить классические XML-инъекции. Новые векторы:
- SVG: Все считают картинки безопасными, но парсеры librsvg до сих пор обрабатывают ENTITY
- PDF/XMP: Метаданные в PDF (XMP стандарт) парсятся как XML, даже если основной контент бинарный
Подробнее: https://timrobot.ru/xxe-2025-ataki-cherez-svg-pdf-i-vojna-s-waf/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#xxe
#waf
XXE 2025: Атаки через SVG/PDF и война с WAF
🔥 XXE Evolution: Почему SVG и PDF?
Современные WAF научились детектить классические XML-инъекции. Новые векторы:
- SVG: Все считают картинки безопасными, но парсеры librsvg до сих пор обрабатывают ENTITY
- PDF/XMP: Метаданные в PDF (XMP стандарт) парсятся как XML, даже если основной контент бинарный
Подробнее: https://timrobot.ru/xxe-2025-ataki-cherez-svg-pdf-i-vojna-s-waf/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
XXE 2025: Атаки через SVG/PDF и война с WAF - Разработка роботов и эксплойтов
Современные WAF научились детектить классические XML-инъекции.