资源宝分享www.httple.net
文章目录
- URL黑名单
- 扫描工具ua特征
- GET(args)参数检查
- cookie黑名单
- POST参数检查
注:请先检查是否已设置URL白名单,若已设置URL白名单,URL黑名单设置将失效
- 多个URL配置需换行,一行只允许填写一个。可直接填写完整URL,或使用正则通配符。
- 如何设置 ua黑名单?详情请看文档如何过滤常用扫描工具的ua
- 如何设置cookie黑名单?例:[^%w]_user
- 检查post参数是否存在风险,例:\sor\s+.=.*,匹配 ’ or 1=1 ,防止sql注入
- 设置多个get args黑名单 需换行,一行只允许填写一个args
URL黑名单
\.(svn|htaccess|bash_history|rewrite.conf|user.ini)
防止svn、htacess、bash_history 文件被窥探
\.(bak|inc|old|mdb|sql|backup|java|class)$
防止一些中间文件和源码被窥探
(vhost|bbs|host|wwwroot|www|site|root|hytop).*\.(rar|tar.gz|zip|tar|7z)
防止站点内压缩包被访问
(jmx-console|jmxinvokerservlet)
防止jmx性能工具被访问
java\.lang
防止java反射攻击
/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)
防止远程执行php、jsp代码,常用
扫描工具ua特征
(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench| SF/)
过滤常用扫描工具的ua
GET(args)参数检查
args参数
\.\./
禁用包含 …/ 的参数
args参数
\:\$
禁用变量取值符号
args参数
\$\{
防止mybatis注入
args参数
\<\?
禁止php脚本出现
args参数
\<\%
禁止jsp脚本出现
args参数
\s*or\s+.*=.*
匹配’ or 1=1 ,防止sql注入
args参数
select([\s\S]*?)(from|limit)
防止sql注入
args参数
(?:(union([\s\S]*?)select))
防止sql注入
args参数
having|updatexml|extractvalue
防止sql注入
args参数
sleep\((\s*)(\d*)(\s*)\)
防止sql盲注
args参数
benchmark\((.*)\,(.*)\)
防止sql盲注
args参数
base64_decode\(
防止sql变种注入
args参数
(?:from\W+information_schema\W)
防止sql注入
args参数
(?:(?:current_)user|user|database|schema|connection_id)\s*\(
防止sql注入
args参数
(?:etc\/\W*passwd)
防止窥探linux用户信息
args参数
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
args参数
group\s+by.+\(
防止sql注入
args参数
xwork.MethodAccessor
防止structs2远程执行方法
args参数
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
禁用webshell相关某些函数
args参数
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
防止一些协议攻击
args参数
java\.lang
防止java反射攻击
args参数
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
禁用一些内置变量,建议自行修改
args参数
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
防止xss标签植入
args参数
(onmouseover|onerror|onload)\=
防止xss事件植入
args参数
\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)
防止执行shell
args参数
\s*and\s+.*=.*
匹配 and 1=1
cookie黑名单
cookie黑名单
\.\./
禁用包含 …/ 的参数
cookie黑名单
\:\$
禁用变量取值符号
cookie黑名单
\$\{
防止mybatis注入
cookie黑名单
\<\?
禁止php脚本出现
cookie黑名单
\<\%
禁止jsp脚本出现
cookie黑名单
\s*or\s+.*=.*
匹配’ or 1=1 ,防止sql注入
cookie黑名单
select([\s\S]*?)(from|limit)
防止sql注入
cookie黑名单
(?:(union([\s\S]*?)select))
防止sql注入
cookie黑名单
having|updatexml|extractvalue
防止sql注入
cookie黑名单
sleep\((\s*)(\d*)(\s*)\)
防止sql盲注
cookie黑名单
benchmark\((.*)\,(.*)\)
防止sql盲注
cookie黑名单
base64_decode\(
防止sql变种注入
cookie黑名单
(?:from\W+information_schema\W)
防止sql注入
cookie黑名单
(?:(?:current_)user|user|database|schema|connection_id)\s*\(
防止sql注入
cookie黑名单
(?:etc\/\W*passwd)
防止窥探linux用户信息
cookie黑名单
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
cookie黑名单
group\s+by.+\(
防止sql注入
cookie黑名单
xwork.MethodAccessor
防止structs2远程执行方法
cookie黑名单
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
禁用webshell相关某些函数
cookie黑名单
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
防止一些协议攻击
cookie黑名单
java\.lang
防止java反射攻击
cookie黑名单
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
禁用一些内置变量,建议自行修改
cookie黑名单
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
防止xss标签植入
cookie黑名单
(onmouseover|onerror|onload)\=
防止xss事件植入
cookie黑名单
\s*and\s+.*=.*
匹配 and 1=1
POST参数检查
post参数
\.\./
禁用包含 …/ 的参数
post参数
\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)
防止执行shell
post参数
\:\$
禁用变量取值符号
post参数
\$\{
防止mybatis注入
post参数
\<\?
禁止php脚本出现
post参数
\<\%
禁止jsp脚本出现
post参数
\s*or\s+.*=.*
匹配’ or 1=1 ,防止sql注入
post参数
select([\s\S]*?)(from|limit)
防止sql注入
post参数
(?:(union([\s\S]*?)select))
防止sql注入
post参数
having|updatexml|extractvalue
防止sql注入
post参数
sleep\((\s*)(\d*)(\s*)\)
防止sql盲注
post参数
benchmark\((.*)\,(.*)\)
防止sql盲注
post参数
base64_decode\(
防止sql变种注入
post参数
(?:from\W+information_schema\W)
防止sql注入
post参数
(?:(?:current_)user|user|database|schema|connection_id)\s*\(
防止sql注入
post参数
(?:etc\/\W*passwd)
防止窥探linux用户信息
post参数
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
post参数
into(\s+)+(?:dump|out)file\s*
禁用mysql导出函数
post参数
xwork.MethodAccessor
防止structs2远程执行方法
post参数
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
禁用webshell相关某些函数
post参数
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
防止一些协议攻击
post参数
java\.lang
防止java反射攻击
post参数
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
禁用一些内置变量,建议自行修改
post参数
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
防止xss标签植入
post参数
(onmouseover|onerror|onload)\=
防止xss事件植入
post参数
\|\|.*(?:ls|pwd|whoami|ll|ifconfog|ipconfig|&&|chmod|cd|mkdir|rmdir|cp|mv)
防止执行shell
post参数
\s*and\s+.*=.*
匹配 and 1=1
