zerokeeper

好的，用的就是这个环境 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce 另外我是在目录下加了一个index.html页面,herf标签链接到的 `/springboot-spel-rce/article?id=1` 应该就会带上`Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7` 模拟的正常点击访问的过程，正常大部分爬虫访问到的链接也都是这个Accept

``` https://example.com/.bashrc dirscan/system/config https://example.com/.zshrc dirscan/system/config https://example.com/.bash_profile dirscan/system/config https://example.com/.bash_logout dirscan/system/config https://example.com/code.tar.gz dirscan/backup/code https://example.com/src.tar.gz dirscan/backup/code https://example.com/htdocs.tar.gz dirscan/backup/code https://example.com/webserver.tar.gz dirscan/backup/code https://example.com/tools.tar.gz dirscan/backup/code ........ dirscan/backup/code ``` 再补充一个就是dirscan扫描会出现大量误报结果，源站实际是访问任意路径都会下载一个文件，但是文件大小都是相同的。 可否先请求一个不存在的文件验证一下文件大小，然后排除这些误报的结果。