【文件属性】：
文件名称：aws-waf-sqli-bypass-PoC:使用单个';'绕过AWS WAF
文件大小：55KB
文件格式：ZIP
更新时间：2021-04-27 12:59:14
JavaScript 介绍 适用于SQlInjectionMatchTuple的AWS WAF文档（ ）指出：“文本转换消除了攻击者的某些异常格式在Web请求中使用，以绕过AWS WAF。如果您指定转换，则AWS WAF在检查匹配请求之前对FieldToMatch执行转换。” 更具体地说，CMD_LINE TextTransformation除其他动作外，还将“以下字符替换为空格：，;”。 此外，对于URL_DECODE xform，指示“使用此选项对URL编码的值进行解码”。 但是，我们发现，当两个独立的查询以“;”连接时，这两种xform都无法单独或组合使用来阻止注入。 SQLi绕过 从本质上讲，已发现通过使用EXPECTED_INPUT'; select * from TARGET_TABLE--形式的注入EXPECTED_INPUT'; select * from TARGET_TABLE--
【文件预览】：
aws-waf-sqli-bypass-PoC-master
----bypass()
--------ssqli.sh(105B)
--------nsqli.js(2KB)
--------ssqli.js(2KB)
--------nsqli.sh(105B)
----update.sh(1KB)
----README.md(27KB)
----destroy.sh(137B)
----cf()
--------sqli-tsting.yml(8KB)
----create.sh(1KB)
----.gitignore(63B)
----demo.gif(39KB)