阻止在启用了WAF的Amazon ALB中托管的webapp上的AJAX Post请求-以防表单数据包含空格字符 - 腾讯云开发者社区

文章/答案/技术大牛

发布

C# HTTP系列10 form表单的enctype属性

系列目录【已更新最新开发文章，点击查看详细】在ASP.NET编程中经常遇到下面的代码片段，将人员信息以表单方式提交到后台程序并保存到服务器与数据库中。...就是说，在发送到服务器之前，所有字符都会进行编码（空格转换为 "+" 加号，特殊符号转换为 ASCII HEX 值）。...在使用包含文件上传控件的表单时，必须使用该值。 text/plain 空格转换为 "+" 加号，但不对特殊字符编码。...随着越来越多的 Web 站点，尤其是 WebApp，全部使用 Ajax 进行数据交互之后，我们完全可以定义新的数据提交方式，给开发带来更多便利。...实际上，现在越来越多的人把它作为请求头，用来告诉服务端消息主体是序列化后的 JSON 字符串。

1.5K4 0

层层剖析一次 HTTP POST 请求事故

二、问题排查步骤第一步：自测定位既然是form表单，我们采用控制变量法，尝试对每一个字段进行修改后提交测试。在多次试验后，锁定表单中的moduleExport 字段的变化会导致这个问题。...也就是说，理论上完整的网络层调用链如下图：并且从WAF的工作机制和问题表象上来看，很有可能是WAF层的原因。...第四步：WAF 排查带着上述的猜测，我们重新抓包，尝试获取整个HTTP请求的optrace路径，看看是不是在WAF层被拦截了，抓包结果如下：从抓包数据上来看，status为complete代表前端请求发送成功...综上而言，form表单中的moduleExport字段的变化很可能导致在WAF层被拦截。...在定位到具体的问题发生地后，由将之前锁定的字段进行拆解，逐步分析字段中每个属性，从而最终确定XX属性的值触犯了WAF的规则机制。

1.5K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

Web应用程序防火墙（WAF）bypass技术讨论（一）

攻击者的恶意数据可以欺骗解释器在没有授权的情况下执行非预期的命令或访问敏感数据。...比方说，你攻击的目标处于WAF的保护下，但是这个WAF有一个规则，一旦GET参数的值内或POST请求的body里包含/etc/passwd或/bin/ls，所有的请求都会被阻止。如果你试图请求/?...cmd=cat+/etc/passwd，那么它会被目标WAF阻止，你的IP将被永久禁止访问并被标记。如果目标WAF没有足够的规则集来阻止像？和/在查询字符串中，那么就能使用通配符来进行绕过。...该请求却被我的WAF接受了。 ? 发生这种情况是因为“问号”，“正斜杠”和“空格”都在规则920271和920272的字符范围内。...Paranoia Level 3 (PL3) 这个等级会阻止包含“？”

3.7K4 0

如何做一款好的waf产品(2)

由于后台系统的种类繁多，WAF必须识别出针对这些系统的攻击，这为WAF的开发带来了很大的难处，为了使WAF的规则可以有效的抵御这些攻击，WAF必须发现出这些攻击并将变换的输入数据还原成正常的数据。...WAF支持以下的数据还原方法 1. URL解码 (如%XX) 2. 以空字节结尾的字符串（Null byte string termination），如C风格字符串。 3....转义字符（Escaped characters） (如\t, \001, \xAA, \uAABB)。黑名单机制 WAF的黑名单定义采用了下述的机制： 1....保护表单中的隐藏域防止表单中隐藏域的值被篡改。...严格的请求顺序控制是指WAF严格的监视请求的顺序，只有那些可能的后续请求才能被允许。

9462 0

WAF绕过技巧浅谈

例如你的攻击目标位于Web应用放火墙后，并且在其规则内配置了一条，用于阻止所有在GET或POST请求参数内包含/etc/passwd或/bin/ls的规则，那么此时你尝试诸如/?...答案是肯定的。在文件系统中echo命令支持使用通配符枚举文件目录。例如：echo //ss*。 ? 我们可以在具有RCE漏洞的URL上使用该命令语法，以获取目标系统上的文件和目录信息，例如： ?...现在我们来看看具有相同请求的右窗口，唯一不同的是这里我使用了”？“通配符代替了原来的字符。从结果上可以看到Sucuri WAF并未对我们的请求进行拦截，我的脚本执行了GET给c参数的系统命令。...可以看到PL1，一个查询字符串只能包含1-255范围内的ASCII字符，直到PL4在非常小的范围内阻止所有不是ASCII的字符。 ? ? 让我们对所有这些等级做个测试！...Level 3 (PL3) 这个等级相对于前两个则优化了不少，它会阻止包含“？”等字符超过n次的请求。我的请求被标志为“元字符异常检测警报 - 重复非单词字符”。

2.5K10 0

Ajax(二)

以POST方式提交表单数据 enctype的三种属性值之间的区别：属性值应用场景 application/x-www-form-urlencoded 表单中不包含文件上传的场景，适用于普通数据的提交...-- 提交按钮 --> 提交使用Ajax解决页面跳转问题通过 Ajax 提交表单采集到的数据，可以防止表单默认提交行为导致的页面跳转问题...步骤给form注册submit事件 ==> 该事件会在表单提交的时候会触发阻止表单的默认跳转行为 ==> 事件对象e.preventDefault() 收集表单中数据发送ajax请求提交给服务器...在实际开发中，常用的 5 种请求方式分别是： GET、POST、PUT、PATCH、DELETE 为了简化开发者的使用过程，axios 为所有支持的请求方法提供了别名： axios.请求方式(请求地址...FormData 中追加键值对数据 fd.append('username' , 'admin') 注意: 键表示数据项的名字，必须是字符串值表示数据项的值，可以是任意类型的数据发送普通的FormData

2.2K2 0

深入剖析Tycoon 2FA钓鱼攻击套件：绕过双因素认证的技战术

攻击者通过以下方式分享这些链接：PDF文档SVG文件恶意网站PowerPoint演示文稿电子邮件Amazon S3存储：Tycoon威胁行为者使用Amazon S3存储桶来托管恶意的虚假登录页面。...数据创建：通过将“WQ”附加到电子邮件地址的开头来创建自定义字符串（例如，WQtest@outlook.com）。数据外泄：这个包含邮件的自定义字符串通过POST请求发送到攻击者的命令与控制服务器。...脚本继续下一步，发送带有表单数据的POST请求到攻击者的端点 (../eypkDtn5lPJjyOMUrofhYfQwPk9fbGCAjUgZztc9dMlLdgv)。...加密的数据被转换为二进制格式，并通过AJAX POST请求发送到攻击者的端点 (/tdwsch3h8IoKcUOkog9d14CkjDcaR0ZrKSA95UaVbbMPZdxe)。...攻击者利用窃取的数据对高价值账户进行有针对性的钓鱼活动，在环境内横向移动，外泄数据并部署勒索软件。

1441 0

Web应用防火墙的使用效率问题与替代性技术的深入讨论

如果请求中的数据包含类似SQL或Shell之类的代码，服务器可能会阻止我们的请求。在网络安全领域的起步阶段，WAF似乎是一个好主意。...当时的HTTP请求提及很小，而且请求也不频繁，并且大多包含的都是普通的表单数据。...正如本文之前在性能部分提到的那样，请求Body必须缓冲到RAM中进行分析，因此WAF必须设置一个截止点，以避免在单个请求上花费无限的CPU和RAM。...这也就意味着，越来越多的字符串可能会触发WAF的规则，并阻止我们的请求。...如果你想发表一篇讨论Log4shell的文章或发表相关的评论，你可能会因为发表的内容中包含了“${jndi”之类的字符串而被WAF屏蔽。

4771 0

HTTP协议学习

，请求方式有表单POST提交、AJAX-POST请求 ①.POST /user HTTP/1.1 客户端想向服务器添加一条新录 uname=tom&upwd=123 (3).PUT...：表客户端想“放置/上传/更新”服务器上的指定资源，相关数据在请求主体中，请求方式有AJAX-PUT请求 ①.PUT /user HTTP/1.1 客户端想更新服务器上的一条记录 uname=tom&upwd...，尽量减少请求次数--合理进行资源合并，合理使用缓存 (4).等待响应时间，提高服务器运行速度，提高数据运算及查询速度 (5).接收响应，尽可能减少响应数据长度--删除空白字符，启压缩 11.HTTP协义详解...application/x-www-form-urlencoded 请求主体是经过编码后的表单数据 multipart/form-data 表单中包含上传的文件数据 D.客户端自定义头部 ③.CRLF...，数字，bool,null,字符串，注意:字符串必须用双引号 (3).数组中可以包含多个值，使用逗号分隔 (4).对象中可以包含多个键值，使用逗号分隔，不同值，键和值之间用分号分隔 ,键必须是双引号

7.4K1 0

Web基础知识

URL参数传递数据时，如果参数中包含特殊字符可能会出现问题。...与XML对比：使用JSON对象访问属性的方式获取数据更加方便，在JavaScript中可以轻松地在JSON字符串与对象之间转换。 JSON格式的数据交互实现。...A网站 -> 利用Ajax读取用户在B网站中的余额 -> B网站 A网站 Ajax向A网站发送修改密码的请求 <- B网站跨域请求会导致网页失去安全性，因此浏览器阻止跨域请求。...Cookie是根据域名、路径等参数存储的，不同网站的Cookie相互隔离，从而保证数据的安全性。 6.2 FormData Ajax向服务器发送数据时，如何收集表单中的数据？...以前的方法：通过DOM操作手动获取用户在表单中填写的值。缺点：表单中的数据非常多时，使用此方式将会给开发和维护带来许多麻烦。 HTML5提供的方法：FormData表单数据对象。

1.9K1 0

前端架构师之01_JavaScript_Ajax

1.2K1 0

类编程的WAF（上）

非工作时段不仅拦截还阻止该用户一段时间访问对 admin 等管理账号登录后的访问不进行注入检查对于只记录不拦截的请求，附加一个特别的请求头发往应用对某些 URL 的注入访问记录下 HTTP 请求的全部报文...这还仅仅是防注入这项基本功能，如果有更多的应用防护需求，比如：一个已登录的非内网用户在 10 秒钟连续访问 POST 方法的页面 (非 AJAX 数据) 达到 5 次，则在 10 秒内延迟这个用户的响应时间...这种规则的好处是简单明了，用户甚至可以在图形化界面中完成规则的配置，但其弱点是不足以描述复杂的情形。...四、类编程的WAF 天存信息的类编程 WAF，用数据结构来表达程序思想，让普通的技术支持人员也能够写出足够复杂和灵活的安全策略。...类编程的 WAF 具有以下与编程语言相似的特性：无限嵌套的 if / the / else 条件判断完整的 and / or / not 逻辑运算符对集合 / 数组成员的遍历运算变量包含多种数据类型

9473 0

Django学习笔记之Ajax与文件上传

AJAX除了异步的特点外，还有一个就是：浏览器页面局部刷新；（这一特点给用户的感受是在不知不觉中完成请求和响应过程）场景： ?...－服务器－Ajax流程图略 Ajax应用案例 1 用户名是否已被注册在注册表单中，当用户填写了用户名后，把光标移开后，会自动向服务器发送异步请求。...2 基于Ajax进行登录验证用户在表单输入用户名与密码，通过Ajax提交给服务器，服务器验证后返回响应信息，客户端通过响应信息确定是否登录成功，成功，则跳转到首页，否则，在页面上显示相应的错误信息。...随着越来越多的 Web 站点，尤其是 WebApp，全部使用 Ajax 进行数据交互之后，我们完全可以定义新的数据提交方式，给开发带来更多便利。...实际上，现在越来越多的人把它作为请求头，用来告诉服务端消息主体是序列化后的 JSON 字符串。

2.1K1 0

使用Python检测并绕过Web应用程序防火墙

- >“”这些字符，因此我们可以在WAF中设定一个包含这些字符的的过滤规则，我们可以进行如下定义： 1.... 2. alert(*) 第一个签名将过滤任何包含字符串的请求，第二个将过滤任何包含alert(*)字符串的请求。如何判断目标环境是否部署防火墙？ ?...在通常情况下，如果我们在一个部署有WAF的系统上执行以上payload，那么在http的响应中我们将能捕获到WAF留下的轨迹： HTTP/1.1 406 Not Acceptable Date: Mon...因此在第三行代码中，我们需要告诉mechanize要选择以此命名的表单进行提交，所以formName变量为‘waf’。第四行代码就是打开目标URL地址，并提交我们的数据。...可以看到payload被打印在了HTML文档中，这也说明应用程序代码中没有任何的过滤机制，并且由于没有防火墙的保护，我们的恶意请求也未被阻止。

2.8K5 0

使用AJAX获取Django后端数据

根据Django项目的URLconf和视图的配置方式，URL可能包含关键字参数或查询字符串，我们希望在视图中使用该参数来选择请求的数据。 Headers 设置AJAX请求头参数。...向Django发出POST请求时，我们需要包含csrf令牌以防止跨站点请求伪造攻击。Django文档提供了我们需要添加的确切JavaScript代码，以从csrftoken cookie中获取令牌。...BODY POST请求的目标是将数据发送到视图并更新数据库。这意味着我们还需要在fetch调用中包含数据。...除了JSON数据（包括文件和来自表单的数据）外，其他数据也可以在正文中发送。有关如何包含其他类型的数据的更多信息，请参见MDN文档。...我们从POST请求中获得的响应将像GET请求一样使用链式承诺进行处理。在视图中处理POST请求接受POST请求的视图将从请求中获取数据，对其执行一些操作，然后返回响应。

10.1K4 0

Bypass WAF （小白食用）

WAF可以检测Web应用程序中的各种攻击，例如SQL注入、跨站点脚本攻击（XSS）、跨站请求伪造（CSRF）等，并采取相应的措施，例如拦截请求、阻止访问、记录事件等。...举个例子： 2.2分块传输绕过waf 先在数据包中添加Transfer-Encoding: chunked 数字代表下一列字符所占位数，最后需要用0独占一行表示结束，结尾需要两个回车在头部加入 Transfer-Encoding...这时，post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据，长度值独占一行，长度不包括它结尾的，也不包括分块数据结尾的，且最后需要用0独占一行表示结束。...在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。...4时,实际上服务器接收的内容仅仅有"id=1"云WAF也没有对带有恶意Payload的请求拦截,说明云WAF对于普通的POST请求提取了"Content-Length"标头并进行了判断,并以此为依据,作为对整个请求体内容的审查范围

8013 1

黑客用Python：检测并绕过Web应用程序防火墙

1.5K1 0

zepto 基础知识(6)

none)：发送到服务器的数据；如果是GET请求，它会自动被作为参数拼接到url上。...7.ajaxStop (global)：如果这是最后一个活跃着的Ajax请求，将会被触发。　　　　默认情况下，Ajax事件在document对象上触发。...105.$.ajaxSettings 　　　　一个包含Ajax请求的默认设置的对象。大部分的设置在 $.ajax中已经描述。...请求中提交数据使用的URL编码的查询字符串表示。...表单方法： 111.serialize 　　serialize() 类型string 　　在Ajax post 请求中将用作提交的表单元素的值编译成URL编码的字符串。

2K10 0

AJAX--总结

readyState 的值不会递减，除非当一个请求在处理过程中的时候调用了 abort() 或 open() 方法。...每次这个属性的值增加的时候，都会触发 onreadystatechange 事件句柄。 responseText 服务器接收到的响应体（不包括头部），如果还没有接收到数据的话，就是空字符串。...AJAX+PHP流程创建对象请求初始化发送请求接受并处理结果 GET传参可以直接拼接传参 POST传参 setRequestHeader() 设置Post传参方法原理...: 模拟表单 HTML表单enctype值介绍值描述 application/x-www-form-urlencoded 在发送前编码所有字符（默认） multipart/form-data 不对字符编码...在使用包含文件上传控件的表单时，必须使用该值。 text/plain 空格转换为 "+" 加号，但不对特殊字符编码。

6411 0

BypassWAF(小白食用)

软件waf 软件waf，安装在需要防护的服务器上，实现方式通常是Waf监听端口或以Web容器扩展方式进行请求检测和阻断。...WAF可以检测Web应用程序中的各种攻击，例如SQL注入、跨站点脚本攻击（XSS）、跨站请求伪造（CSRF）等，并采取相应的措施，例如拦截请求、阻止访问、记录事件等。...攻击响应：WAF根据检测结果采取相应的措施，例如拦截请求、阻止访问、记录事件等。WAF可以使用多种技术来响应攻击，例如重定向、报错、拦截等。...这时，post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据，长度值独占一行，长度不包括它结尾的，也不包括分块数据结尾的，且最后需要用0独占一行表示结束。...在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。

1K1 0

点击加载更多

C# HTTP系列10 form表单的enctype属性

层层剖析一次 HTTP POST 请求事故

Web应用程序防火墙（WAF）bypass技术讨论（一）

如何做一款好的waf产品(2)

WAF绕过技巧浅谈

Ajax(二)

深入剖析Tycoon 2FA钓鱼攻击套件：绕过双因素认证的技战术

Web应用防火墙的使用效率问题与替代性技术的深入讨论

HTTP协议学习

Web基础知识

前端架构师之01_JavaScript_Ajax

类编程的WAF（上）

Django学习笔记之Ajax与文件上传

使用Python检测并绕过Web应用程序防火墙

使用AJAX获取Django后端数据

Bypass WAF （小白食用）

黑客用Python：检测并绕过Web应用程序防火墙

zepto 基础知识(6)

AJAX--总结

BypassWAF(小白食用)

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐