具体是指的什么场景下？如果打CTF的话，相对来说是好做的，毕竟端口，应用都是明确的，通过一些AWD工具结合flag是否被读取是比较容易的。如果是一般场景，主要就是0day或者未公开的exp吧，毕竟公开的那种也不需要提取了。这个单纯看流量其实不太好办，可以通过流量分析出来一些异常数据，但是这个异常指的是相对于平时的流量特征而言的，至于是否有效，还需要结合具体环境，所以，总结来说就是……我也想知道，请好心人告诉我