?

http://www.freebuf.com/articles/web/18084.html

?

(1)

在 前端安全技術中常見的編碼繞過技術利用的就是不同系統間的編碼位寬(addslashes()樓哦的那個)，不同編碼的解碼順序(htmlParserjavascriptParser的解碼順序)，不同的解碼規則(unicode->ascii轉換中非可見字符的占位符問題)的這些"不一致性" 導致的漏洞。

WAF為了解決這個"非規范化"帶來的問題，在進行實際的檢查前會對數據進行一次規范化處理。把所有輸入轉換成可預見和可控范圍內的數據。讓我們的規則能100%地匹配到目標對象。

t:none,t:htmlEntityDecode(html解碼，HTML編碼繞過思路),t:replaceComments(刪 除注釋，防御注釋繞過/*! sql_code */這種漏洞利用),t:compressWhiteSpace(/**/, 空格/*&id=*/等繞過思路),t:lowercase(繞過基于黑名的大小寫畸形繞過思路: SleCt FroM ..)

?

(2)

Transformation functions

規范化的函數

https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#cssDecode

轉載于:https://www.cnblogs.com/shengxinking/p/3845338.html

總結

以上是生活随笔為你收集整理的http解码-5的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。