透過Content-Type的charset繞過waf
未編碼
id=123&pass=pass%3d1
透過IBM037編碼
%89%84=%F1%F2%F3&%97%81%A2%A2=%97%81%A2%A2~%F1
在發送時必須補上http header
Content-Type: application/x-www-form-urlencoded; charset=ibm037
作弊表
import urllib.parse
s = 'payload'
urllib.parse.quote(s.encode('ibm037'))
參考
參見
Web Web安全 Vulnerability WAF