WAF绕过

TODO:待看绕过思路

https://zhuanlan.zhihu.com/p/411351728
https://www.freebuf.com/articles/web/336869.html
https://www.freebuf.com/articles/network/326312.html
https://cloud.tencent.com/developer/article/1969001
https://blog.csdn.net/weixin_55837124/article/details/118034812
https://www.secpulse.com/archives/176763.html
https://blog.csdn.net/weixin_50464560/article/details/120926097
https://harmoc.com/secnote/waf绕过思路整理.html
https://blog.csdn.net/qq_53577336/article/details/119897773

WAF

· 识别目标站是否使用了防火墙。WAF可以是硬件的、软件的、云厂商的、代码注入式的。

· 如果存在WAF，后续的所有操作需要人工进行绕过，不可用工具频繁自动化进行，会被封IP。

WAF识别

看响应头字段
常见的WAF拦截页面
- https://github.com/stamparm/identYwaf/tree/master/screenshots
- https://mp.weixin.qq.com/s/8F060FU9g_78z57UKS-JsQ
⚠️频繁探测目标站⚠️工具识别（一般是根据http头、拦截页的文字图片特征来识别
- wafw00f

WAF绕过

TODO