脏字符绕过
适用于硬件WAF
硬件waf与云waf和软件waf的区分还是需要靠自己经验了,软件waf一般拦截都有一个特征页面,比如安全狗的那条狗,d盾的盾,最不好区分的就是云waf与硬件waf,这绝大部分需要依靠自己经验判别...硬件WAF会发生脏字符绕过呢,数据包过大消耗内存,为了避免影响服务而放行,当然这是有概率的哈,如何快速提高概率呢?intruder带来无限可能,唯一缺陷,我电脑一跑容易死机。...当然WAF越贵越给力,来自金钱的力量,至于脏字符参数填充的地方,from-data 后面 ,或者,内容脏字符绕,当然内容脏字符绕过还是需要考虑一下语言注释符常见如jsp<!...常见后缀绕过
“.php”,”.php5″,”.php4″,”.php3″,”.php2″,“php1”, “.html”,”.htm”,”.phtml”,”.pht”,”.pHp”,”.pHp5″,”....pHp4″,”.pHp3″, “.pHp2”,“pHp1”,”.Html”,”.Htm”,”.pHtml”,”.jsp”,”.jspa”,”.jspx”, “.jsw”,”.jsv”,”.jspf”,