WAF是指Web应用防护系统(网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。F5是提供WAF产品和服务的国际厂商,F5 WAF 新品ASM. APM, Edge Gateway全新亮相。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
测试环境:东塔学院SQL注入绕过安全狗 https://labs.do-ta.com/index/course/detail/id/29
测试工具:手艺人必备hackbay
1,首先判断闭合,这里判断闭合方式为")
2,使用and逻辑运算符进行判断,发and没有被过滤,但是and 1=1被拦截,这里可以使用等价函数xor进行判断
http://120.25.24.45:30783/?id=-1") xor 1=2 --+
3,判断显示位,这里单独对order没有进行拦截,对by也没有进行拦截,但是
order by
组和在一起会被拦截
我使用内联注释将order 与by分别,包裹起来还是会被拦截
/*!order*//*by*/1 被拦截
使用垃圾数据填充干扰过滤,发现可以进行绕过。
/*!21444 order*//*!