Bypass WAF

1、繞過命令執行：

不少WAF會限制參數字符不能爲能夠執行的命令，諸如ls、nc等，若是直接使用這些字符會直接被WAF攔截，可是能夠經過這種的方式繞過這一限制

一、? 符號：這個符號表示條件測試，好比執行/?in/?ls，會對路徑中第一個匹配到的/*in/ls進行執行，一般狀況下，目錄中沒有這些文件，因此能夠直接定位到/bin/ls，由於根目錄下知足*in的目錄只有bin目錄

 *注：可繞過OWPS CRS

二、空白字符：bash中默認沒有新變量爲空字符，好比$u在bash下就是空變量，這個空變量在命令行中不進行佔位，好比執行/bin$u/ls$u，由於$u爲空且不佔位，因此不會破壞原有命令的執行

*注：可繞過OWPS CRS