一,畸形包繞過
1.先關閉burpsuite長度更新,為get請求,先使用bp的method轉換為POST請求
2.get請求中空格使用%20代替,Connection改為keep-alive
二,分塊傳輸繞過waf
1.先在數據包中添加Transfer-Encoding: chunked
2.數字代表下一列字符所占位數,結尾需要兩個回車
三,協議覆蓋waf繞過
1.首先將數據包轉換為文件上傳包格式,使用bp工具change body encoding
2.刪除多余空格
3.添加參數filename,filename =1.jpg,等於號前需要加個空格
4.加單引號繞過
5.邊界混淆繞過
四,常見的waf繞過技巧,空格轉義,超長字符溢出繞過等
五,組合繞過waf
1.分塊抓輸加文件包協議覆蓋
2.Content-type編碼繞過
3.http頭格式繞過
回車加空格
混亂特殊字符繞過
只能位於chunked字符之前加入字符
加入雙;號
