标签： 绕过WAF

本文通过Review PHP远程dos漏洞(CVE-2015-4024)，并利用该特性绕过现有WAF的文件上传防御，成功上传shell。 更重要的价值，提供给我们一个绕过WAF的新思路，一种研究新方向。

【IT168 评论】根据研究人员表示，只需要使用一些技巧(在少数情况下，只需添加一个单一字符)，熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。 从简单的文件名和路径名处理，到更复杂的多部分和unicode解析，不同的Web服务器和安全软件使用不同的方式来处理HTTP协议。漏洞管理公司Qualys的工程总监Ivan Ristic表示，通过利用w...