Bypass WAF

1、绕过命令执行：

不少WAF会限制参数字符不能为能够执行的命令，诸如ls、nc等，若是直接使用这些字符会直接被WAF拦截，可是能够经过这种的方式绕过这一限制

一、? 符号：这个符号表示条件测试，好比执行/?in/?ls，会对路径中第一个匹配到的/*in/ls进行执行，一般状况下，目录中没有这些文件，因此能够直接定位到/bin/ls，由于根目录下知足*in的目录只有bin目录

 *注：可绕过OWPS CRS

二、空白字符：bash中默认没有新变量为空字符，好比$u在bash下就是空变量，这个空变量在命令行中不进行占位，好比执行/bin$u/ls$u，由于$u为空且不占位，因此不会破坏原有命令的执行

*注：可绕过OWPS CRS