一,畸形包绕过

1.先关闭burpsuite长度更新,为get请求,先使用bp的method转换为POST请求

2.get请求中空格使用%20代替,Connection改为keep-alive

二,分块传输绕过waf

1.先在数据包中添加Transfer-Encoding: chunked

2.数字代表下一列字符所占位数,结尾需要两个回车

 三,协议覆盖waf绕过

1.首先将数据包转换为文件上传包格式,使用bp工具change body encoding

2.删除多余空格

3.添加参数filename,filename =1.jpg,等于号前需要加个空格

4.加单引号绕过

5.边界混淆绕过

 四,常见的waf绕过技巧,空格转义,超长字符溢出绕过等

 五,组合绕过waf

1.分块抓输加文件包协议覆盖

2.Content-type编码绕过

3.http头格式绕过

回车加空格

混乱特殊字符绕过

只能位于chunked字符之前加入字符

加入双;号

最新文章

  1. hdu1712 分组背包
  2. 解决Jenkins console输出乱码
  3. mongodb下载、安装、配置服务启动、及可视化工具下载、使用
  4. loj 1155(最大流)
  5. Code First 约定
  6. LaTex学习笔记
  7. Objective-c单例模式详解
  8. 排列-条件求和(Code)
  9. Unity 遮罩 点击panel以外的位置,panel关闭
  10. java通过HttpClient方式和HttpURLConnection方式调用WebService接口
  11. python练习:实现一个整数数组里面两个数之和为183的所有整数对
  12. None.js 第一步 开启一个服务 hello world
  13. PXE | 开关机
  14. 自定义合并列:el-table
  15. java反序列化漏洞原理研习
  16. JavaScript -- 数组Array
  17. 微信小程序里解决app.js onLaunch事件与小程序页面的onLoad加载前后异常问题
  18. bzoj 4449: [Neerc2015]Distance on Triangulation
  19. angular自定义指令命名的那个坑
  20. NG2-我们创建一个可复用的服务来调用英雄的数据

热门文章

  1. MYSQL DATE_FORMAT参数列表及用法
  2. Apache源码包在LINUX(CENTOS6.8)中的安装(出现问题及解决)
  3. OTA升级详解(一)
  4. recovery模式差分(增量)升级小结
  5. 设计模式(六)Prototype模式
  6. Spring Boot集成JSON Web Token(JWT)
  7. Unity5-ABSystem(四):AssetBundle依赖
  8. SAP SOAMANAGER报错原因与故障排除方法
  9. Web for pentester_writeup之SQL injections篇
  10. 博客文章编辑器 Cmd Markdown