当前位置：首页 > news >正文

信息收集之WAF绕过

news 2026/2/9 0:02:55

信息收集之WAF绕过

前言
一、工具进行目录扫描
- - 1. 工具的下载
  - 2. 工具的使用
二、Python代码进行目录扫描

前言

对于web安全无WAF的信息收集，大家可以查看如下链接的文章：

web安全之信息收集

对于有WAF信息收集，看如下所示：（WAF一般只能够阻断我们的扫描，不能够阻断我们的资产收集）

一、工具进行目录扫描

1. 工具的下载

工具进行目录扫描，我推荐使用WebPathBrute，这款扫描工具可以对扫描的值进行一些更改。WebPathBrute下载地址

在这里插入图片描述

2. 工具的使用

如下图是工具的整体界面

在这里插入图片描述

http访问方法 HEAD GET POST 三种方式，head请求扫描速度最快但是准确率不如以下两种，post请求是为某些情况绕过waf使用的。
延时扫描功能勾选效果是: 单线程扫描、默认每隔2秒访问一次。适用于某些存在CCwaf的网站免于频繁访问被认为是CC攻击。（默认两秒已经能过云锁以及安全狗的默认CC设置）
扫描类型分别对应同目录下多个txt文件自定义对应的文件是custom.txt，后缀格式为".xxx",如不需要后缀可以不填直接将字典内容修改为"111.svn"此类即可。
双击表格内某行即调用系统默认浏览器打开当前行Url 右键可复制Url内容。
批量导入的Url与填写的Url都需要以 http:// https:// 开头的格式。

二、Python代码进行目录扫描

如下就是代码：

import time
import requestsheaders = {'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,''application/signed-exchange;v=b3;q=0.9','Accept-Encoding': 'gzip, deflate, br','Accept-Language': 'zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6','Cache-Control': 'max-age=0','Connection': 'keep-alive','Cookie': 'PHPSESSID=fd9fe23725ee345977c7bc5197297969; safedog-flow-item=3F12D5FCE8EE42D19C69ADB5A7C5BDDB','sec-ch-ua': '"Chromium";v="92", " Not A;Brand";v="99", "Microsoft Edge";v="92"','sec-ch-ua-mobile': '?0','Sec-Fetch-Dest': 'document','Sec-Fetch-Mode': 'navigate','Sec-Fetch-Site': 'none','Sec-Fetch-User': '?1','Upgrade-Insecure-Requests': '1','User-Agent': 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)'  # 百度搜索引擎就可以绕过安全狗
}for paths in open('dict.txt', encoding='utf-8'):  # dict.txt为字典目录url = "http://192.168.93.134/pikachu/"  # 要扫描的URL地址paths = paths.replace('\n', '')  # 把末尾的换行去掉urls = url + paths# proxy = {#     'http': '127.0.0.1:7777'# }  # 代理池绕过  绕过宝塔try:code = requests.get(urls, headers=headers).status_code# time.sleep(3)  # 延迟绕过 ，可以绕过安全狗，宝塔，阿里云print(urls + '|' + str(code))except Exception as err:print('connect error')

信息收集之WAF绕过

信息收集之WAF绕过前言一、工具进行目录扫描1. 工具的下载2. 工具的使用二、Python代码进行目录扫描前言对于web安全无WAF的信息收集，大家可以查看如下链接的文章： web安全之信息收集对于有WAF信息收集，看如下所示：（…...

编程日记 2023/5/16 7:25:31

从数据到智慧，TOOM舆情监测系统让你的决策更加精准!

当今社会信息化程度日益提高，网络平台已成为人们获取最新信息的主要途径，无论是个体还是组织、政府还是企业，都需要通过各种手段及时了解社会舆情，把握市场动态，调整经营策略。而舆情监测系统无疑是这些手段中最为有效…...

编程日记 2023/5/16 7:27:09

ChatGPT中文版网页插件-如何体验chatGPT

ChatGPT中文版网页插件目前，OpenAI的ChatGPT并没有官方提供中文版的网页插件，但是，一些第三方网站和开发者已经开始提供一些针对中文的自然语言处理和对话机器人服务。以下是其中一些例子： 问答机器人： 像小蛮腰和小…...

编程日记 2023/5/25 18:05:21

Docker的网络模式

Docker常见的几种网络模式 docker network ls 查看使用了哪些网络 [rootcentos8-nat-168-182-152 ~]# docker network ls NETWORK ID NAME DRIVER SCOPE c0184302f6a8 bridge bridge local 420492e04276 host host local …...

编程日记 2023/5/16 7:28:19

基于vue3.2、three实现地图在地图加载

基于vue3.2、three实现地图在地图加载code效果预览地址code 在这里插入代码片 import { ref, onMounted } from "vue"import * as THREE from "three"; import Earth from "./textures/Earth.png" import EarthSpec from "./textures/Eart…...

编程日记 2023/5/25 18:07:51

【C++】---优先级队列仿函数

文章目录优先级队列介绍优先级队列使用仿函数优先级队列模拟实现优先级队列介绍优先队列是一种容器适配器 ，它的底层实现是堆，虽然它的名字里面有队列，但它并没有队列先进先出的特性优先级队列定义在头文件中，其模板参数有三个…...

编程日记 2023/5/25 18:09:12

图的遍历算法

图的遍历1.连通图的深度优先搜索1.1. 递归1.2.非递归2.连通图的广度优先遍历3. 非连通图的深度（广度）优先遍历1.连通图的深度优先搜索算法思想：从图中某个顶点vi出发，访问此顶点，然后依次从v1的各个未被访问的邻接点…...

编程日记 2023/5/16 7:31:09

【蓝桥杯集训·每日一题】 AcWing 3996. 涂色

文章目录一、题目1、原题链接2、题目描述二、解题报告1、思路分析2、时间复杂度3、代码详解三、知识风暴区间DPUnique函数一、题目 1、原题链接 3996. 涂色 2、题目描述有 n 个砖块排成一排，从左到右编号为 1∼n。其中，第 i 个砖块的初始颜色为 ci。 …...

编程日记 2023/4/17 13:54:27

人工智能中的Web端编程

Java是当前的主流编程语言之一，常年稳居TIOBE编程语言排行榜前五。Java的使用领域非常广泛，包括了桌面端编程、Web端编程、移动端编程等几乎所有的编程领域。Java是Web端编程使用最广泛的编程语言之一。要学习Web端编程，需要了解Java语言的知…...

编程日记 2023/5/25 18:10:52

jsp+mysql+J2EE校园自行车租赁系统cdA1A2程序

本系统的具体功能有以下六项： 1、用户信息管理模块：用户需要注册成为本网站的用户，同时修改自己的用户资料，在必要时修改自己的登陆密码。 2、车辆查询模块:用户可以根据自己的要求，按照不同的查询方式来查询自己想要的…...

编程日记 2023/5/16 7:32:18

当营养遇上肠道菌群：探究其对儿童健康的影响

谷禾健康越来越多的证据表明，肠道菌群定植紊乱和微生物多样性减少与全球非传染性疾病 (NCD) 的增加有关。影响儿童和青少年的非传染性疾病包括肥胖及其相关合并症、自身免疫性疾病、过敏性疾病和哮喘。饮食变化也与非传染性疾病的发病机制有关，并且由于…...

编程日记 2023/5/17 2:49:05

vue尚品汇商城项目-day01【4.完成非路由组件Header与Footer业务】

文章目录4.完成非路由组件Header与Footer业务4.1使用组件的步骤（非路由组件）本人其他相关文章链接4.完成非路由组件Header与Footer业务在咱们项目开发中，不在以HTML CSS 为主，主要搞业务、逻辑开发项目的流程： (1)…...

编程日记 2023/5/12 14:01:27

IDEA安装教程（图文详解，一步搞定）

文章目录第一步：官网下载IDEA第二步：卸载旧的IDEA（没有则跳过）第二步：安装IDEA第一步：官网下载IDEA 地址：https://www.jetbrains.com/idea/download/other.html 第二步：卸载旧的I…...

编程日记 2023/5/16 7:33:28

1、配置camera_custom_stero_setting.h a、增加sensor配置 /vendor/mediatek/proprietary/custom/mt6765/hal/camera/camera_custom_stereo_setting.h注意： 1）IMGOYUV Size：在有FOV crop的情况下，不能配置为sensor full size，建议比full size 小或者配置为fov crop的值…...

编程日记 2023/5/16 7:35:01

redis --- string类型的使用

目录一、string类型使用 1.1、set key value参数解析 1.2、同时设置/获取多个键值 1.3、获取/设置指定区间范围内的值 1.4、数值增减 1.5、获取字符串长度和内容追加 1.6、分布式锁 1.7、getset(先get再set) 一、string类型使用 1.1、set key value参数解析 SET key v…...

编程日记 2023/5/16 7:36:08

康耐视visionpro-机器视觉定位引导-经验总结-来自视觉人粉丝分享

1、机器人吸取电路板，移动到拍照位置，并在电路板上找一个标记点，并且，通过机器人示教把当前电路板能够准确的放入到目标位置。 2、机器人吸取电路板吸取电路板，在x,y方向进行移动，总共移动4个位置&#xff…...

编程日记 2023/5/16 7:37:11

包管理工具npm

一：package.json 在某个文件路径下，执行 npm init。就会生成package.json文件。大致如下： {"name": "test","version": "1.0.0","description": "测试","main": &q…...

编程日记 2023/4/19 14:09:06

ChatGPT正进军各行各业，抓住机遇，拥有无限的可能性。

每一个新技术的出现都会对各行各业产生冲击，但关键在于如何抓住这个机遇。ChatGPT是一项非常具有前途的技术，它可以在许多领域为人们提供更好的服务和体验。这项技术的优势之一是它可以快速而准确地理解和解释自然语言，从而使人们可以更轻松地…...

编程日记 2023/5/16 7:38:44

Maven 多模块管理

多模块管理简单地理解就是一个 Java 工程项目中不止有一个 pom.xml 文件，会在不同的目录中有多个这样的文件，进而实现 Maven 的多模块管理在多人使用Maven协作开发项目时，尤其是稍微上点规模的项目，每个RD的工作都细分到具体功能…...

编程日记 2023/5/12 14:45:14

crash 内核调试工具 ps 指令显示的进程状态 RU, IN, UN, ZO, ST, TR, DE, SW, WA, PA 什么意思

crash> help ps | grep "the task state" 5. the task state (RU, IN, UN, ZO ,ST, TR, DE, SW, WA, PA, ID, NE) 参考linux-4.19.113内核源码（include/linux/sched.h），有如下定义 /** Task state bitmask. NOTE! These bits…...

编程日记 2023/5/16 7:40:15