对上传内容进行黑名单检测,,
我本人比较菜,之前做题,题目把过滤内容都甩我脸上了,就是平常都见的是正则过滤。
但是现在,他不告诉我们什么被过滤,我们就要自己去试一试了。
我用的是bp
把包发送到intruder模块
选定内容
再选择字典
还可以给payload添加一个前缀,有时候还可以根据实际情况添加后缀,或者一些加密
这是跑出来的结果
不难发现,所有响应状态码都是200
但是仔细观察,我们会发现他们长度不一样,
有几个706的,这些就是没被过滤的
先简单学习怎末使用bp来fuzz,测试过滤内容