0x1 白盒
0x2 黑盒
一.架构层
1.寻找源站==》
2.利用同网段==》
3.利用边界漏洞==》
ssrf只是一个例子
二.资源限制
Waf为了保证业务运行,会忽略对大的数据包的检测
三.协议层
1.协议未覆盖绕过
举例,waf只对get请求检测,把get换成post绕过waf
2.参数污染
举例,index.php?id=1&id=2
Waf识别的是id=1,也只检测id=1
中间件识别的是id=2,在这注入
四.规则层面
1.寻找源站==》
2.利用同网段==》
3.利用边界漏洞==》
ssrf只是一个例子
Waf为了保证业务运行,会忽略对大的数据包的检测
1.协议未覆盖绕过
举例,waf只对get请求检测,把get换成post绕过waf
2.参数污染
举例,index.php?id=1&id=2
Waf识别的是id=1,也只检测id=1
中间件识别的是id=2,在这注入