具体是指的什么场景下?如果打CTF的话,相对来说是好做的,毕竟端口,应用都是明确的,通过一些AWD工具结合flag是否被读取是比较容易的。如果是一般场景,主要就是0day或者未公开的exp吧,毕竟公开的那种也不需要提取了。这个单纯看流量其实不太好办,可以通过流量分析出来一些异常数据,但是这个异常指的是相对于平时的流量特征而言的,至于是否有效,还需要结合具体环境,所以,总结来说就是……我也想知道,请好心人告诉我