绕过webknight web application firewall及解决方案 - 网站

今天去t00ls看了看，发现有人在讨论饶过webknight, 并且我昨天本地搭了一个环境,所以想试试能不能饶过webknight.测试发现.果然可以绕过该软件. 问题1.   该软件默认不拦截后台登录框'or'='or' 问题2.   该软件默认不拦截% 众所周知,我们经常猜表及字段时,需要输入 and (select count(*)from table) 看table是否存在 and union select 1,2,3,4,5 from admin 看几个字段, 再然后and 1=2 union select 1,username,password,4,5 from admin 猜解用户和密码.废话不多说.直接上图 图1.正常情况下被拦截. 图2.使用%后可完美绕过.. 解决方法也比较简单,添加相应的关键字及字符到WebKnight.xml中即可

查看更多关于绕过webknight web application firewall及解决方案 - 网站的详细内容...