文件名称:aws-waf-sqli-bypass-PoC:使用单个';'绕过AWS WAF
文件大小:55KB
文件格式:ZIP
更新时间:2024-05-17 06:45:54
JavaScript
介绍 适用于SQlInjectionMatchTuple的AWS WAF文档( )指出:“文本转换消除了攻击者的某些异常格式在Web请求中使用,以绕过AWS WAF。如果您指定转换,则AWS WAF在检查匹配请求之前对FieldToMatch执行转换。” 更具体地说,CMD_LINE TextTransformation除其他动作外,还将“以下字符替换为空格:,;”。 此外,对于URL_DECODE xform,指示“使用此选项对URL编码的值进行解码”。 但是,我们发现,当两个独立的查询以“;”连接时,这两种xform都无法单独或组合使用来阻止注入。 SQLi绕过 从本质上讲,已发现通过使用EXPECTED_INPUT'; select * from TARGET_TABLE--形式的注入EXPECTED_INPUT'; select * from TARGET_TABLE--
【文件预览】:
aws-waf-sqli-bypass-PoC-master
----bypass()
--------ssqli.sh(105B)
--------nsqli.js(2KB)
--------ssqli.js(2KB)
--------nsqli.sh(105B)
----update.sh(1KB)
----README.md(27KB)
----destroy.sh(137B)
----cf()
--------sqli-tsting.yml(8KB)
----create.sh(1KB)
----.gitignore(63B)
----demo.gif(39KB)