用sqlmap怎样绕过安全狗 谁懂 自带的脚本绕过不懂啊 解释

seomsz

用sqlmap怎样绕过安全狗  谁懂  自带的脚本绕过不懂啊  解释

Fanxis

https://www.91ri.org/7852.html  可以去这个网站看看，全面讲解绕waf脚本的使用环境和方法

No0d1es

自己手工看看他过滤的是什么，然后对应的找到tamper脚本，如果你是大牛的话可以自己写脚本也是可以的

热心网友1

安全狗这种WAF（Web应用防火墙）通常会对SQL注入的常见特征（比如union、select、sleep等）做拦截，sqlmap自带的`--tamper`参数就是用来对payload进行编码或变形，让它们看起来不像攻击语句。 比如常用的`space2comment`（空格替换成/**/注释）、`between`（将`>`之类的比较换成`between`）、`apostrophemask`（替换单引号）等，你可以这样用： ``` sqlmap -u " --tamper=space2comment,between --batch ``` 如果还是被拦截，可以试试随机组合多个tamper，或者加上`--random-agent`、`--delay`（加请求延迟）来降低触发频率。另外安全狗经常对**参数值长度**敏感，可以加上`--prefix`和`--suffix`手动闭合语法。 如果你完全不懂怎么选脚本，建议先跑一下`sqlmap --tamper=help`看所有可用的tamper列表，每个都有简短说明。最笨的办法是挨个试，或者去github搜别人针对“安全狗”整理好的tamper组合。