环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客
一、双重URL编码绕过
什么是URL编码
URL编码是一种将特殊字符转为%加上其ASCII值的方式,以确保在URL中传输时不会被误解或导致错误。例如,字母"s"的URL编码是"%73"。
双重URL编码的原理
双重URL编码是将已经编码的字符串再次进行URL编码。例如,编码一次的字符串"abc"会变成"%61%62%63",如果再次编码,会变成"%25%36%31%25%36%32%25%36%33"。这样,WAF 设备在解码一次后,仍然看不到原始的字符串,从而绕过了规则。
双重URL编码的应用
双重URL编码可以用于绕过一些WAF或其他安全设备。攻击者可能会尝试使用这种技术来隐藏恶意负载,以避开基于字符串匹配的规则。
示例:
- 传输原始数据 "abc" 时,如果它被规则检测到并阻止,攻击者可以尝试双重URL编码。
- 通过双重编码,原始数据 "abc" 编码为 "%61%62%63" 再编码为 "%25%36%31%25%36%32%25%36%33"。