Yapi 代码执行waf绕过小技巧

释放双眼,带上耳机,听听看~!

当激动的点击保存脚本的时候发现浏览器并没有反应,起初以为是管理员禁用了保存功能,后来随便保存一串字符结果显示保存成功,看看浏览器 ajax 请求原来是保存恶意脚本 的请求被拒绝了,怪不得恶意攻击的流量里没有发现这个资产,原来是有 waf 进行防御的。既然来了就不能放过,分段保存恶意脚本,经过一步一步的尝试最后定位被拦截是因为 识别到了 exec()。 该恶意脚本为 nodjs 脚本,翻一翻官方文档看到了以下内容:

【转自慕课】https://www.imooc.com

JAVA

我是这样写出答答打车系统的

2022-3-3 1:13:09

JAVA

Java------字符流和字节流(II)

2022-3-3 1:47:36

搜索