绕过那只WAF

WAF 为何

WAF的全称是（Web Application Firewall）即web应用防火墙，简称WAF

WAF 分类

非嵌入式

硬件 WAF

绿盟、启明星辰、安恒、知道创宇、天融信、Imperva、…

软件 WAF

安全狗、雷池、D盾、云锁…

云 WAF

阿里云云盾、腾讯云WAF、华为云WAF、安全狗、安恒、知道创宇、…

嵌入式

网站内置

WAF 绕过

HTTP协议层绕过^[1]

遇到写

pipline

分块编码传输

注释扰乱分块数据包^[2]

apache出错Bypass ModSecurity

利用协议未覆盖

规则绕过

遇到写

编码

大小写

空格替代

双关键字

内联注释

Method

超大数据包

复参数

%

%00

参考

1. https://www.freebuf.com/news/193659.html ↩
2. https://www.freebuf.com/articles/web/194351.html ↩