2022年04月07日
文中摘自微信公众平台「Bypass」,创作者Bypass。转截文中请联络Bypass微信公众号。
有一段时间一直热衷科学研究各种各样waf绕过,一般来说,云WAF可以根据寻找网址真正IP来绕过,硬件配置waf也常由于HTTP协议书分析差别造成绕过,可是,代码层的防护通常只有从代码逻辑性里找寻绕过思路。
在一些网址通常会在公共文档引进全局防护代码,因而,我搜集了互联网上多见的PHP全局防护代码开展剖析。第一次见到safe3的防注入代码,花了许多時间去科学研究怎样绕过,我还在手记里记录下来了一句话