门神WAF绕过挑战赛
No.1
起因
好友在群里发了个腾讯云的门神waf挑战赛,可以尝试bypass sql注入和xss。钱虽然不多,但是就当给午餐加杯酸奶。
https://security.tencent.com/index.php/announcement/msg/189
因为最近在做项目,只能中午休息时抽空写文章,主要分享XSS的绕过思路,就不太过细致的分析了
随便尝试了几个payload发现是基于语义分析的
首先测试一下基础payload:
被ban的时候
不被ban的时候
No.2
绕