感谢每一个认真阅读我文章的人，看着粉丝一路的上涨和关注，礼尚往来总是要有的：

①　2000多本Python电子书（主流和经典的书籍应该都有了）

②　Python标准库资料（最全中文版）

③　项目源码（四五十个有趣且经典的练手项目及源码）

④　Python基础入门、爬虫、web开发、大数据分析方面的视频（适合小白学习）

⑤ Python学习路线图（告别不入流的学习）

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

正如你可以看到它像Web流量和Web服务器之间的墙壁，通常现在Web应用防火墙是基于签名的。

什么是基于签名的防火墙？

在基于签名的防火墙中，您可以定义签名，因为您知道网络攻击也遵循类似的模式或签名。因此，我们可以定义匹配模式并阻止它们，即

Payload :- <svg><script>alert`1`<p>

上面定义的Payload是一种跨站点脚本攻击，我们知道所有这些攻击都可以包含以下字符“

<script>alert(*)

第一个签名将阻止包含

怎么知道有防火墙？

如果您正在进行渗透测试，并且您不知道有防火墙阻塞流量，因为它可能浪费了大量的时间，因为大多数时候，您的攻击有效负载被防火墙阻止，所以，在开始渗透测试之前，首先测试Web应用程序防火墙存在是一个好主意。

大多数防火墙现在就留下一些关于它们的轨迹，现在如果您使用上面定义的有效载荷攻击网络应用程序，并获得以下响应：

HTTP/1.1 406 Not Acceptable
Date: Mon, 10 Jan 2016Server: nginx
Content-Type: text/html; charset=iso-8859-1
Not Acceptable!Not Acceptable! An appropriate representation of the

您可以清楚地看到，您的攻击被Mod_Security防火墙阻止。在本文中，我们将看到我们如何开发一个简单的python脚本，可以执行此任务检测防火墙并绕过它。

步骤1：定义HTML文档和PHP脚本！

我们必须定义我们的HTML文档来注入有效载荷和相应的PHP脚本来处理数据。我们在下面定义了这两个。

我们将使用以下HTML文档：

<html>
<body>
<form name="waf" action="waf.php" method="post">
Data: <input type="text" name="data"><br>
<input type="submit" value="Submit">
</form>
</body>
</html>

PHP脚本：

<html>
<body>
Data from the form : <?php echo $_POST["data"]; ?><br>
</body>
</html>

步骤2：准备恶意请求！

检测防火墙存在的第二步是创建一个可以被防火墙阻止的恶意跨站脚本请求。我们将使用一个名为“Mechanize”的python模块

现在您了解了Mechanize，我们可以选择任何页面上提供的Web表单并提交请求。以下代码片段可用于做到这一点：

import mechanize as mecmalicious
Request = mec.Browser()
formName = 'waf'maliciousRequest.open("http://check.cyberpersons.com/crossSiteCheck.html")maliciousRequest.select_form(formName)

让我们明白这个代码行：

在第一行，我们导入了mechanize模块，并给它一个简称’mec’供以后参考。

要使用mechanize下载网页，需要实例化浏览器。我们已经在代码的第二行中做到了。

在第一步，我们定义了我们的HTML文档，其中表单名称为“waf”，我们需要告诉mechanize选择此表单提交，因此我们在名为formName的变量中使用此名称。

比我们打开这个URL，就像我们在浏览器中一样。页面打开后，我们填写表单并提交数据，因此页面的打开与此相同。

最后我们选择了使用’select_form’函数传递它’formName’变量的形式。

正如你可以在HTML源代码中看到的那样，这个表单只有一个输入字段，我们将在该字段中注入我们的payload，一旦我们收到响应，我们将检查它的字符串以检测是否存在Web应用防火墙。

步骤3：准备有效载荷

在我们的HTML文档中，我们使用以下代码指定了一个输入字段：

<input type =“text”name =“data”> <br>

您可以看到该字段的名称是“data”，我们可以使用以下代码定义此字段的输入：

crossSiteScriptingPayLoad = "<svg><script>alert`1`<p>"
maliciousRequest.form['data'] = crossSiteScriptingPayLoad

第一行将我们的有效载荷保存在变量中。

在第二行代码中，我们已将我们的有效内容分配给表单字段“数据”。

我们现在可以安全地提交此表格并检查答复。

步骤4：提交表单并记录回复

代码我将在此行提及后提交表单并记录回复：

maliciousRequest.submit()
response=maliciousRequest.response().read()
print response

提交表单

将响应保存在变量中。

打印回应。

由于我目前没有安装防火墙，所以我得到的响应是：

可以看到有效载荷被打印回我们，意味着应用程序代码中不存在过滤，并且由于没有防火墙，我们的请求也没有被阻止。

步骤5：检测防火墙的存在

如果你也是看准了Python，想自学Python，在这里为大家准备了丰厚的免费学习大礼包，带大家一起学习，给大家剖析Python兼职、就业行情前景的这些事儿。

一、Python所有方向的学习路线

Python所有方向路线就是把Python常用的技术点做整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、学习软件

工欲善其必先利其器。学习Python常用的开发软件都在这里了，给大家节省了很多时间。

三、全套PDF电子书

书籍的好处就在于权威和体系健全，刚开始学习的时候你可以只看视频或者听某个人讲课，但等你学完之后，你觉得你掌握了，这时候建议还是得去看一下书籍，看权威技术书籍也是每个程序员必经之路。

四、入门学习视频

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

四、实战案例

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、面试资料

我们学习Python必然是为了找到高薪的工作，下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料，并且有阿里大佬给出了权威的解答，刷完这一套面试资料相信大家都能找到满意的工作。

成为一个Python程序员专家或许需要花费数年时间，但是打下坚实的基础只要几周就可以，如果你按照我提供的学习路线以及资料有意识地去实践，你就有很大可能成功！
最后祝你好运！！！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

如果你按照我提供的学习路线以及资料有意识地去实践，你就有很大可能成功！
最后祝你好运！！！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！