刀城技术网-信息安全,服务器安全维护,网站安全维护

Cookie注入绕过智创IIS防火墙防SQL注入检测

时间:2012-05-30 23:25来源:http://www.redicecn.com 作者:redice 点击:
师弟朋友的网站被人了,我帮忙检测了一下。 找了一个新闻显示页面,尝试sql Injection,被告知IDS拦截了请求。 截图如下: 根据提示页上的连接找到了创智IIS防火墙的网站,大概看了一下产品的

作者:redice
原文地址:
http://www.redicecn.com/html/wangluoanquan/20100724/158.html


师弟朋友的网站被人××了,我帮忙检测了一下。

找了一个新闻显示页面,尝试sql Injection,被告知IDS拦截了请求。

截图如下:
Click to Open in New Window

根据提示页上的连接找到了“创智IIS防火墙”的网站,大概看了一下产品的介绍。

又是基于ISAPI的WAF。个人感觉ISAPI对IIS版本的依赖性太高,稳定性也不是太好(ISAPI,让我欢喜让我忧啊)。

通过查看产品说明,发现它只过滤了GET和POST数据(也就是QueryString,PostData)。

尝试了一下Cookie(中转)注入,果然好使....

截图如下:

Click to Open in New Window

注意:由于是cookie中转注入,所以路径是本地。

没有完美的WAF,WEB产品的安全性要靠自己!

(责任编辑:刀)
顶一下
(4)
100%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片
栏目列表
推荐内容