资源宝分享www.httple.net

---

注：请先检查是否已设置URL白名单，若已设置URL白名单，URL黑名单设置将失效

• 多个URL配置需换行，一行只允许填写一个。可直接填写完整URL，或使用正则通配符。
• 如何设置 ua黑名单？详情请看文档如何过滤常用扫描工具的ua
• 如何设置cookie黑名单？例：[^%w]_user
• 检查post参数是否存在风险，例：\sor\s+.=.*，匹配 ’ or 1=1 ,防止sql注入
• 设置多个get args黑名单 需换行，一行只允许填写一个args

---

URL黑名单

\.(svn|htaccess|bash_history|rewrite.conf|user.ini)

防止svn、htacess、bash_history 文件被窥探

\.(bak|inc|old|mdb|sql|backup|java|class)$

防止一些中间文件和源码被窥探

(vhost|bbs|host|wwwroot|www|site|root|hytop).*\.(rar|tar.gz|zip|tar|7z)

防止站点内压缩包被访问

(jmx-console|jmxinvokerservlet)

防止jmx性能工具被访问

java\.lang

防止java反射攻击

/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)

防止远程执行php、jsp代码,常用

扫描工具ua特征

(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench| SF/)

过滤常用扫描工具的ua

GET(args)参数检查

args参数

\.\./

禁用包含 …/ 的参数
args参数

\:\$

禁用变量取值符号
args参数

\$\{

防止mybatis注入
args参数

\<\?

禁止php脚本出现
args参数

\<\%

禁止jsp脚本出现
args参数

\s*or\s+.*=.*

匹配’ or 1=1 ,防止sql注入
args参数

select([\s\S]*?)(from|limit)

防止sql注入
args参数

(?:(union([\s\S]*?)select))

防止sql注入
args参数

having|updatexml|extractvalue

防止sql注入
args参数

sleep\((\s*)(\d*)(\s*)\)

防止sql盲注
args参数

benchmark\((.*)\,(.*)\)

防止sql盲注
args参数

base64_decode\(

防止sql变种注入
args参数

(?:from\W+information_schema\W)

防止sql注入
args参数

(?:(?:current_)user|user|database|schema|connection_id)\s*\(

防止sql注入
args参数

(?:etc\/\W*passwd)

防止窥探linux用户信息

args参数

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数

args参数

group\s+by.+\(

防止sql注入
args参数

xwork.MethodAccessor

防止structs2远程执行方法

args参数

(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(

禁用webshell相关某些函数
args参数

(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/

防止一些协议攻击
args参数

java\.lang

防止java反射攻击

args参数

\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[

禁用一些内置变量,建议自行修改

args参数

\<(iframe|script|body|img|layer|div|meta|style|base|object|input)

防止xss标签植入
args参数

(onmouseover|onerror|onload)\=

防止xss事件植入
args参数

\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)

防止执行shell

args参数

\s*and\s+.*=.*

匹配 and 1=1

cookie黑名单

cookie黑名单

\.\./

禁用包含 …/ 的参数
cookie黑名单

\:\$

禁用变量取值符号
cookie黑名单

\$\{

防止mybatis注入
cookie黑名单

\<\?

禁止php脚本出现
cookie黑名单

\<\%

禁止jsp脚本出现
cookie黑名单

\s*or\s+.*=.*

匹配’ or 1=1 ,防止sql注入
cookie黑名单

select([\s\S]*?)(from|limit)

防止sql注入
cookie黑名单

(?:(union([\s\S]*?)select))

防止sql注入
cookie黑名单

having|updatexml|extractvalue

防止sql注入
cookie黑名单

sleep\((\s*)(\d*)(\s*)\)

防止sql盲注
cookie黑名单

benchmark\((.*)\,(.*)\)

防止sql盲注
cookie黑名单

base64_decode\(

防止sql变种注入
cookie黑名单

(?:from\W+information_schema\W)

防止sql注入
cookie黑名单

(?:(?:current_)user|user|database|schema|connection_id)\s*\(

防止sql注入
cookie黑名单

(?:etc\/\W*passwd)

防止窥探linux用户信息
cookie黑名单

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数
cookie黑名单

group\s+by.+\(

防止sql注入
cookie黑名单

xwork.MethodAccessor

防止structs2远程执行方法
cookie黑名单

(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(

禁用webshell相关某些函数
cookie黑名单

(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/

防止一些协议攻击
cookie黑名单

java\.lang

防止java反射攻击
cookie黑名单

\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[

禁用一些内置变量,建议自行修改
cookie黑名单

\<(iframe|script|body|img|layer|div|meta|style|base|object|input)

防止xss标签植入
cookie黑名单

(onmouseover|onerror|onload)\=

防止xss事件植入
cookie黑名单

\s*and\s+.*=.*

匹配 and 1=1

POST参数检查

post参数

\.\./

禁用包含 …/ 的参数

post参数

\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)

防止执行shell
post参数

\:\$

禁用变量取值符号
post参数

\$\{

防止mybatis注入
post参数

\<\?

禁止php脚本出现
post参数

\<\%

禁止jsp脚本出现
post参数

\s*or\s+.*=.*

匹配’ or 1=1 ,防止sql注入
post参数

select([\s\S]*?)(from|limit)

防止sql注入
post参数

(?:(union([\s\S]*?)select))

防止sql注入
post参数

having|updatexml|extractvalue

防止sql注入
post参数

sleep\((\s*)(\d*)(\s*)\)

防止sql盲注
post参数

benchmark\((.*)\,(.*)\)

防止sql盲注

post参数

base64_decode\(

防止sql变种注入
post参数

(?:from\W+information_schema\W)

防止sql注入
post参数

(?:(?:current_)user|user|database|schema|connection_id)\s*\(

防止sql注入
post参数

(?:etc\/\W*passwd)

防止窥探linux用户信息
post参数

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数
post参数

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数
post参数

xwork.MethodAccessor

防止structs2远程执行方法
post参数

(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(

禁用webshell相关某些函数
post参数

(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/

防止一些协议攻击
post参数

java\.lang

防止java反射攻击
post参数

\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[

禁用一些内置变量,建议自行修改
post参数

\<(iframe|script|body|img|layer|div|meta|style|base|object|input)

防止xss标签植入
post参数

(onmouseover|onerror|onload)\=

防止xss事件植入
post参数

\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)

防止执行shell
post参数

\s*and\s+.*=.*

匹配 and 1=1