利用url与参数解析不规范绕过黑名单机制

Posted by bfpiaoran on March 12, 2019

一次测试时发现的

配置如下

 

访问/test/v1/test/aa接口是没问题的

但是访问/aa/v1/bb/testb  接口会显示403

发现访问/test/v1/test/aa/..;/  会访问到根目录

那么这里可以利用白名单*的机制绕过黑名单

访问

/test/v1/test/aa/..;/aa/v1/bb/testb
绕过黑名单限制