1、如果waf不能解码,后端可以解码,或者waf解码后,只检测解码后的数据,不检测原始payload,可以使用
rememberMe=加密payload+==垃圾数据
2、未知Http方法名绕WAF
shiro的payload在header上,修改request header使waf解析不出来,但是后端中间件正常解析
1、bypassWAF,看看啥waf如果宝塔当我没说。
2、你这个waf?是啥waf,没有回显还是啥直接过滤了某些参数。
3、寻找其他入口。
