当前位置: 首页 > news >正文

URL黑名单 扫描工具ua特征 GET(args)参数检查 cookie黑名单 POST参数检查参考代码

资源宝分享www.httple.net

文章目录

  • URL黑名单
  • 扫描工具ua特征
  • GET(args)参数检查
  • cookie黑名单
  • POST参数检查


注:请先检查是否已设置URL白名单,若已设置URL白名单,URL黑名单设置将失效

  • 多个URL配置需换行,一行只允许填写一个。可直接填写完整URL,或使用正则通配符。
  • 如何设置 ua黑名单?详情请看文档如何过滤常用扫描工具的ua
  • 如何设置cookie黑名单?例:[^%w]_user
  • 检查post参数是否存在风险,例:\sor\s+.=.*,匹配 ’ or 1=1 ,防止sql注入
  • 设置多个get args黑名单 需换行,一行只允许填写一个args

URL黑名单

\.(svn|htaccess|bash_history|rewrite.conf|user.ini)

防止svn、htacess、bash_history 文件被窥探

\.(bak|inc|old|mdb|sql|backup|java|class)$

防止一些中间文件和源码被窥探

(vhost|bbs|host|wwwroot|www|site|root|hytop).*\.(rar|tar.gz|zip|tar|7z)

防止站点内压缩包被访问

(jmx-console|jmxinvokerservlet)

防止jmx性能工具被访问

java\.lang

防止java反射攻击

/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)

防止远程执行php、jsp代码,常用

扫描工具ua特征

(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench| SF/)

过滤常用扫描工具的ua

GET(args)参数检查

args参数

\.\./

禁用包含 …/ 的参数
args参数

\:\$

禁用变量取值符号
args参数

\$\{

防止mybatis注入
args参数

\<\?

禁止php脚本出现
args参数

\<\%

禁止jsp脚本出现
args参数

\s*or\s+.*=.*

匹配’ or 1=1 ,防止sql注入
args参数

select([\s\S]*?)(from|limit)

防止sql注入
args参数

(?:(union([\s\S]*?)select))

防止sql注入
args参数

having|updatexml|extractvalue

防止sql注入
args参数

sleep\((\s*)(\d*)(\s*)\)

防止sql盲注
args参数

benchmark\((.*)\,(.*)\)

防止sql盲注
args参数

base64_decode\(

防止sql变种注入
args参数

(?:from\W+information_schema\W)

防止sql注入
args参数

(?:(?:current_)user|user|database|schema|connection_id)\s*\(

防止sql注入
args参数

(?:etc\/\W*passwd)

防止窥探linux用户信息

args参数

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数

args参数

group\s+by.+\(

防止sql注入
args参数

xwork.MethodAccessor

防止structs2远程执行方法

args参数

(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(

禁用webshell相关某些函数
args参数

(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/

防止一些协议攻击
args参数

java\.lang

防止java反射攻击

args参数

\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[

禁用一些内置变量,建议自行修改

args参数

\<(iframe|script|body|img|layer|div|meta|style|base|object|input)

防止xss标签植入
args参数

(onmouseover|onerror|onload)\=

防止xss事件植入
args参数

\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)

防止执行shell

args参数

\s*and\s+.*=.*

匹配 and 1=1

cookie黑名单

cookie黑名单

\.\./

禁用包含 …/ 的参数
cookie黑名单

\:\$

禁用变量取值符号
cookie黑名单

\$\{

防止mybatis注入
cookie黑名单

\<\?

禁止php脚本出现
cookie黑名单

\<\%

禁止jsp脚本出现
cookie黑名单

\s*or\s+.*=.*

匹配’ or 1=1 ,防止sql注入
cookie黑名单

select([\s\S]*?)(from|limit)

防止sql注入
cookie黑名单

(?:(union([\s\S]*?)select))

防止sql注入
cookie黑名单

having|updatexml|extractvalue

防止sql注入
cookie黑名单

sleep\((\s*)(\d*)(\s*)\)

防止sql盲注
cookie黑名单

benchmark\((.*)\,(.*)\)

防止sql盲注
cookie黑名单

base64_decode\(

防止sql变种注入
cookie黑名单

(?:from\W+information_schema\W)

防止sql注入
cookie黑名单

(?:(?:current_)user|user|database|schema|connection_id)\s*\(

防止sql注入
cookie黑名单

(?:etc\/\W*passwd)

防止窥探linux用户信息
cookie黑名单

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数
cookie黑名单

group\s+by.+\(

防止sql注入
cookie黑名单

xwork.MethodAccessor

防止structs2远程执行方法
cookie黑名单

(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(

禁用webshell相关某些函数
cookie黑名单

(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/

防止一些协议攻击
cookie黑名单

java\.lang

防止java反射攻击
cookie黑名单

\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[

禁用一些内置变量,建议自行修改
cookie黑名单

\<(iframe|script|body|img|layer|div|meta|style|base|object|input)

防止xss标签植入
cookie黑名单

(onmouseover|onerror|onload)\=

防止xss事件植入
cookie黑名单

\s*and\s+.*=.*

匹配 and 1=1

POST参数检查

post参数

\.\./

禁用包含 …/ 的参数

post参数

\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)

防止执行shell
post参数

\:\$

禁用变量取值符号
post参数

\$\{

防止mybatis注入
post参数

\<\?

禁止php脚本出现
post参数

\<\%

禁止jsp脚本出现
post参数

\s*or\s+.*=.*

匹配’ or 1=1 ,防止sql注入
post参数

select([\s\S]*?)(from|limit)

防止sql注入
post参数

(?:(union([\s\S]*?)select))

防止sql注入
post参数

having|updatexml|extractvalue

防止sql注入
post参数

sleep\((\s*)(\d*)(\s*)\)

防止sql盲注
post参数

benchmark\((.*)\,(.*)\)

防止sql盲注

post参数

base64_decode\(

防止sql变种注入
post参数

(?:from\W+information_schema\W)

防止sql注入
post参数

(?:(?:current_)user|user|database|schema|connection_id)\s*\(

防止sql注入
post参数

(?:etc\/\W*passwd)

防止窥探linux用户信息
post参数

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数
post参数

into(\s+)+(?:dump|out)file\s*

禁用mysql导出函数
post参数

xwork.MethodAccessor

防止structs2远程执行方法
post参数

(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(

禁用webshell相关某些函数
post参数

(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/

防止一些协议攻击
post参数

java\.lang

防止java反射攻击
post参数

\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[

禁用一些内置变量,建议自行修改
post参数

\<(iframe|script|body|img|layer|div|meta|style|base|object|input)

防止xss标签植入
post参数

(onmouseover|onerror|onload)\=

防止xss事件植入
post参数

\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)

防止执行shell
post参数

\s*and\s+.*=.*

匹配 and 1=1

相关文章:

URL黑名单 扫描工具ua特征 GET(args)参数检查 cookie黑名单 POST参数检查参考代码

资源宝分享www.httple.net 文章目录URL黑名单扫描工具ua特征GET(args)参数检查cookie黑名单POST参数检查注&#xff1a;请先检查是否已设置URL白名单&#xff0c;若已设置URL白名单&#xff0c;URL黑名单设置将失效 多个URL配置需换行&#xff0c;一行只允许填写一个。可直接填…...

【软考系统架构设计师】2022下论文写作历年真题

【软考系统架构设计师】2022下论文写作历年真题 试题四 论湖仓一体架构及其应用&#xff08;75分&#xff09; 试题四 论湖仓一体架构及其应用 随着5G、大数据、人工智能、物联网等技术的不断成熟&#xff0c;各行各业的业务场景日益复杂&#xff0c;企业数据呈现出大规模、多…...

推荐3个好用的scrum敏捷项目管理工具

结合对工具的了解和使用心得&#xff0c;介绍在管理scrum中常见的一些工具基础的scrum工具&#xff1a;1、物理白板物理白板是实施scrum最简单直接的方式。之前我也说过&#xff0c;一些利弊。数据不能够沉淀等等。2、Excel表格表格的形式就是如果多人编辑时&#xff0c;不能实…...

每日学术速递2.17

CV - 计算机视觉 | ML - 机器学习 | RL - 强化学习 | NLP 自然语言处理 Subjects: cs.LG 1.Decoupled Model Schedule for Deep Learning Training 标题&#xff1a;深度学习训练的解耦模型时间表 作者&#xff1a;Hongzheng Chen, Cody Hao Yu, Shuai Zheng, Zhen Zhang,…...

ElementUI`resetFields()`方法避坑

使用ElementUI中的resetFields()方法有哪些注意点 场景一 场景一&#xff1a;当编辑弹出框和新增弹出框共用时&#xff0c;编辑数据后关闭编辑弹出框时调用this.$refs.form.resetFields()无法清空弹出框 问题代码&#xff1a; // 点击新增按钮handleAdd() {this.dialogVi…...

如何保证数据库和缓存双写一致性?

前言 数据库和缓存&#xff08;比如&#xff1a;redis&#xff09;双写数据一致性问题&#xff0c;是一个跟开发语言无关的公共问题。尤其在高并发的场景下&#xff0c;这个问题变得更加严重。 我很负责的告诉大家&#xff0c;该问题无论在面试&#xff0c;还是工作中遇到的概率…...

Hinge Loss 和 Zero-One Loss

文章目录Hinge Loss 和 Zero-One LossHinge LossZero-One LossHinge Loss 和 Zero-One Loss 维基百科&#xff1a;https://en.wikipedia.org/wiki/Hinge_loss 图表说明&#xff1a; 纵轴表示固定 t1t1t1 的 Hinge loss&#xff08;蓝色&#xff09;和 Zero-One Loss&#xff…...

Linux下zabbix_proxy实施部署

简介 zabbix proxy 可以代替 zabbix server 收集性能和可用性数据,然后把数据汇报给 zabbix server,并且在一定程度上分担了zabbix server 的压力. zabbix-agent可以指向多个proxy或者server zabbix-proxy不能指向多个server zabbix proxy 使用场景: 1&#xff0c;监控远程区…...

Rust之错误处理(二):带结果信息的可恢复错误

开发环境 Windows 10Rust 1.67.1VS Code 1.75.1项目工程 这里继续沿用上次工程rust-demo 带结果信息的可恢复错误 大多数错误并没有严重到需要程序完全停止的程度。有时&#xff0c;当一个函数失败时&#xff0c;它的原因是你可以很容易地解释和应对的。例如&#xff0c;如…...

[ vulhub漏洞复现篇 ] Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920)

&#x1f36c; 博主介绍 &#x1f468;‍&#x1f393; 博主介绍&#xff1a;大家好&#xff0c;我是 _PowerShell &#xff0c;很高兴认识大家~ ✨主攻领域&#xff1a;【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 &#x1f389;点赞➕评论➕收藏 养成习…...

如何将数据库结构导入到word

在navicat执行查询语句 SELECT COLUMN_NAME 备注, COLUMN_COMMENT 名称, COLUMN_TYPE 数据类型, false as 是键 FROM INFORMATION_SCHEMA.COLUMNS where -- wx 为数据库名称&#xff0c;到时候只需要修改成你要导出表结构的数据库即可 table_schema yuncourt_ai AND -- articl…...

FreeRTOS内存管理 | FreeRTOS十五

目录 说明&#xff1a; 一、FreeRTOS内存管理 1.1、动态分配与用户分配内存空间 1.2、标准C库动态分配内存缺点 1.3、FreeRTOS的五种内存管理算法优缺点 1.4、heap_1内存管理算法 1.5、heap_2内存管理算法 1.6、heap_3内存管理算法 1.7、heap_4内存管理算法 1.8、hea…...

【数字电路】数字电路的学习核心

文章目录前言一、电子电路知识体系二、数电的学习目标三、数字电路分析例子四、数字电路设计例子总结前言 用数字信号完成对数字量进行算术运算和逻辑运算的电路称为数字电路&#xff0c;或数字系统。由于它具有逻辑运算和逻辑处理功能&#xff0c;所以又称数字逻辑电路。现代…...

day45【代码随想录】动态规划之完全平方数、单词拆分、打家劫舍、打家劫舍 II

文章目录前言一、完全平方数&#xff08;力扣279&#xff09;二、单词拆分&#xff08;力扣139&#xff09;三、打家劫舍&#xff08;力扣198&#xff09;四、打家劫舍 II前言 1、完全平方数 2、单词拆分 3、打家劫舍 4、打家劫舍 II 一、完全平方数&#xff08;力扣279&#…...

java程序,springboot程序 找不到主类,找不到符号解决思路

文章目录问题解决方案一.可以尝试clean掉maven依赖&#xff0c;然后重新启动二.右键工程&#xff0c;选择maven然后重新加载工程&#xff0c;接着再启动试试三.删掉工程中的services.iml文件&#xff0c;重新配置后接着再启动试试四. 终极方案清除idea缓存&#xff0c;重启idea…...

AntD-tree组件使用详析

目录 一、selectedKeys与onSelect 官方文档 代码演示 onSelect 注意事项 二、expandedKeys与onExpand 官方文档 代码演示 onExpand 注意事项 三、loadedKeys与onLoad和onExpand 官方文档 代码演示 onExpand与onLoad&#xff1a;​ 注意事项 四、loadData …...

spring的事务控制

1.调用这个方法的对象是否是spring的代理对象&#xff08;$CGLIB结尾的&#xff09; 2.这个方法是否是加了Transactional注释 都符合才可以被事物控制 如果调用方法的对象没有被事物控制&#xff0c;那么被调用的方法即便是加了Transactional也是没用的 事务失效情况&#xf…...

4.如何靠IT逆袭大学?

学习的动力不止于此&#xff1a; IT逆袭 这两天利用工作空余时间读了贺利坚老师的《逆袭大学——传给 IT 学子的正能量》&#xff0c;感触很多&#xff0c;有些后悔没有好好利用大学时光。 不过人都是撞了南墙再回头的&#xff0c;吃一堑长一智。 这本书无论你是工作了还是…...

提供网络可测试的接口【公共Webservice】

提供网络可测试的接口 1、腾讯QQ在线状态 WEB 服务 Endpoint: qqOnlineWebService Web 服务 Disco: http://www.webxml.com.cn/webservices/qqOnlineWebService.asmx?disco WSDL: http://www.webxml.com.cn/webservices/qqOnlineWebService.asmx?wsdl 腾讯QQ在线状态 WEB 服…...

【深入理解计算机系统】库打桩 - 阅读笔记

文章目录库打桩机制1. 编译时打桩2. 链接时打桩3. 运行时打桩库打桩机制 Linux 链接器支持一个很强大的技术&#xff0c;称为库打桩 (library interpositioning)&#xff0c;它允许你截获对共享库函数的调用&#xff0c;取而代之执行自己的代码。使用打桩机制&#xff0c;你可以…...

【Axure高保真原型】引导弹窗

今天和大家中分享引导弹窗的原型模板&#xff0c;载入页面后&#xff0c;会显示引导弹窗&#xff0c;适用于引导用户使用页面&#xff0c;点击完成后&#xff0c;会显示下一个引导弹窗&#xff0c;直至最后一个引导弹窗完成后进入首页。具体效果可以点击下方视频观看或打开下方…...

业务系统对接大模型的基础方案:架构设计与关键步骤

业务系统对接大模型&#xff1a;架构设计与关键步骤 在当今数字化转型的浪潮中&#xff0c;大语言模型&#xff08;LLM&#xff09;已成为企业提升业务效率和创新能力的关键技术之一。将大模型集成到业务系统中&#xff0c;不仅可以优化用户体验&#xff0c;还能为业务决策提供…...

rknn优化教程(二)

文章目录 1. 前述2. 三方库的封装2.1 xrepo中的库2.2 xrepo之外的库2.2.1 opencv2.2.2 rknnrt2.2.3 spdlog 3. rknn_engine库 1. 前述 OK&#xff0c;开始写第二篇的内容了。这篇博客主要能写一下&#xff1a; 如何给一些三方库按照xmake方式进行封装&#xff0c;供调用如何按…...

从WWDC看苹果产品发展的规律

WWDC 是苹果公司一年一度面向全球开发者的盛会&#xff0c;其主题演讲展现了苹果在产品设计、技术路线、用户体验和生态系统构建上的核心理念与演进脉络。我们借助 ChatGPT Deep Research 工具&#xff0c;对过去十年 WWDC 主题演讲内容进行了系统化分析&#xff0c;形成了这份…...

关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案

问题描述&#xff1a;iview使用table 中type: "index",分页之后 &#xff0c;索引还是从1开始&#xff0c;试过绑定后台返回数据的id, 这种方法可行&#xff0c;就是后台返回数据的每个页面id都不完全是按照从1开始的升序&#xff0c;因此百度了下&#xff0c;找到了…...

STM32F4基本定时器使用和原理详解

STM32F4基本定时器使用和原理详解 前言如何确定定时器挂载在哪条时钟线上配置及使用方法参数配置PrescalerCounter ModeCounter Periodauto-reload preloadTrigger Event Selection 中断配置生成的代码及使用方法初始化代码基本定时器触发DCA或者ADC的代码讲解中断代码定时启动…...

JDK 17 新特性

#JDK 17 新特性 /**************** 文本块 *****************/ python/scala中早就支持&#xff0c;不稀奇 String json “”" { “name”: “Java”, “version”: 17 } “”"; /**************** Switch 语句 -> 表达式 *****************/ 挺好的&#xff…...

【JavaSE】绘图与事件入门学习笔记

-Java绘图坐标体系 坐标体系-介绍 坐标原点位于左上角&#xff0c;以像素为单位。 在Java坐标系中,第一个是x坐标,表示当前位置为水平方向&#xff0c;距离坐标原点x个像素;第二个是y坐标&#xff0c;表示当前位置为垂直方向&#xff0c;距离坐标原点y个像素。 坐标体系-像素 …...

【JavaWeb】Docker项目部署

引言 之前学习了Linux操作系统的常见命令&#xff0c;在Linux上安装软件&#xff0c;以及如何在Linux上部署一个单体项目&#xff0c;大多数同学都会有相同的感受&#xff0c;那就是麻烦。 核心体现在三点&#xff1a; 命令太多了&#xff0c;记不住 软件安装包名字复杂&…...

Java多线程实现之Thread类深度解析

Java多线程实现之Thread类深度解析 一、多线程基础概念1.1 什么是线程1.2 多线程的优势1.3 Java多线程模型 二、Thread类的基本结构与构造函数2.1 Thread类的继承关系2.2 构造函数 三、创建和启动线程3.1 继承Thread类创建线程3.2 实现Runnable接口创建线程 四、Thread类的核心…...