t3lsのblog

Shuttle in the shadows.

2019年4月

April 1, 2019

关于SQL注入绕WAF的一些分享

关于SQL注入绕WAF的一些分享(其实是半年前写的)最近的渗透测试中,遇到了几个有WAF的sql注入点,这里聊一下我绕过WAF实现注入查询数据库的一些思路拿到一个注入点,如果遇到WAF,我建议先用常见的一些编码尝试绕过(unicode,url,base64,双重编码等等),这种方法解决不了的时候我们再进行人工的分析分清sql语句是被拦截,替换还是过滤,不同的WAF尝试绕过的方式也大有不同0x...