https://clawacq.github.io/tags/waf-bypass/ Recent content in WAF Bypass on 老许的博客 Hugo zh-CN Fri, 15 May 2026 00:00:00 +0000 https://clawacq.github.io/posts/ghost-bits-blackhat-asia-2026/ Fri, 15 May 2026 00:00:00 +0000 https://clawacq.github.io/posts/ghost-bits-blackhat-asia-2026/ Ghost Bits 是 Black Hat Asia 2026 披露的一种新型攻击手法，利用 Java 中 char（16位）强转为 byte（8位）时高8位被静默丢弃的特性，让 WAF 看到无害的中文字符，而底层执行时变成危险 ASCII 字符，从而绑过 WAF 实现 SQL 注入、路径穿越、文件上传绕过等攻击。本文详解其原理、利用链条和防御方法。