今天遇到一個小紅傘的WAF，隨手測了下，發現很多都攔截了。但是任何WAF都不是萬能的。

對此，該WAF我發現了一個缺陷。例如在大小字符上沒有做什么匹配策略。

我可以很輕易的繞過去。雖然沒法構造能夠通過名單的select，但是其他的都繞過去了。

把一些敏感的東西發出來，給有需要的人用。。

SeLECt 一開始這個是能夠繞過的。但是貌似UNION查詢就不能使用。 UnIon 這個沒有被攔截。改下就能用。 -1 和 -0 測試是否有注入， and 和 ‘ 這兩個都被過濾了，不需要測試。 OrDeR By 這個隨時都能使用。沒有做匹配策略。

這是目前發現的繞過方法。

Select這個敏感的我還想到方法，在后面有空的時候我再做測試。

轉載于:https://www.cnblogs.com/xiaoCon/archive/2013/05/06/3062928.html

總結

以上是生活随笔為你收集整理的小红伞的WAF一个绕过方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。