1、介绍
- 这里的waf可能指开发者自定义,也可能指市场开放的。
- waf可以分为四个过程:
- 客户端ip是否合规
- 接收的参数是否合规
- 应用是否能够正常处理,比如mysql
- 返回是否合规
2、常用绕过姿势
无论何种绕过,都要求数据能够正常流动和处理。
2.1 大小写混杂
2.2 双写绕过
2.3 属性拆分
2.4 空白符处理
2.5 逻辑转换替代
2.6 编码绕过
2.7 填充无意义字段
1、介绍
2、常用绕过姿势
无论何种绕过,都要求数据能够正常流动和处理。
2.1 大小写混杂
2.2 双写绕过
2.3 属性拆分
2.4 空白符处理
2.5 逻辑转换替代
2.6 编码绕过
2.7 填充无意义字段