sqlmap之waf绕过
白名单:方式一:IP白奖单从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。测试方法:修改http的header来bypass wafx-forwarded-forx-remote-IPx-originating-IPx-remote-addrx-Real-ip 方式二:静态资源 特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf.css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名...
