今天遇到一個(gè)小紅傘的WAF，隨手測了下，發(fā)現(xiàn)很多都攔截了。但是任何WAF都不是萬能的。

對此，該WAF我發(fā)現(xiàn)了一個(gè)缺陷。例如在大小字符上沒有做什么匹配策略。

我可以很輕易的繞過去。雖然沒法構(gòu)造能夠通過名單的select，但是其他的都繞過去了。

把一些敏感的東西發(fā)出來，給有需要的人用。。

SeLECt 一開始這個(gè)是能夠繞過的。但是貌似UNION查詢就不能使用。 UnIon 這個(gè)沒有被攔截。改下就能用。 -1 和 -0 測試是否有注入， and 和 ‘ 這兩個(gè)都被過濾了，不需要測試。 OrDeR By 這個(gè)隨時(shí)都能使用。沒有做匹配策略。

這是目前發(fā)現(xiàn)的繞過方法。

Select這個(gè)敏感的我還想到方法，在后面有空的時(shí)候我再做測試。

轉(zhuǎn)載于:https://www.cnblogs.com/xiaoCon/archive/2013/05/06/3062928.html

總結(jié)

以上是生活随笔為你收集整理的小红伞的WAF一个绕过方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。