在SQL注入攻击中,使用内联注释(如MySQL的"/!/")来绕过WAF对特定SQL语句的检测。内联注释可以使WAF在解析SQL语句时忽略注释部分的内容。6. 请求方式差异绕过 某些WAF可能对不同请求方式(如GET、POST、PUT等)的处理规则不一致。通过变换请求方式,可能绕过WAF的特定检测规则。7. 异常Method绕过 WAF通常会过滤并阻...
编码绕过,在绕 waf 中也是经常遇到的,通常 waf 只坚持他所识别的编码,比如说它只识别 utf-8 的字符,但是服务器可以识别比 utf-8 更多的编码。 那么我们只需要将 payload 按照 waf 识别不了但服务器可以解析识别的编码格式,即可绕过。 比如请求包中我们可以更改Content-Type中的charset的参数值,我们改为ibm037...