简单绕过智创WAF
简要描述:智创waf对某策略检测不严格,导致注入绕过。详细说明:智创网站专业级防火墙系统(IIS版本)某缺陷导致特定情况下完全被绕过。漏洞证明:智创waf并没有对post包中sql注入关键字做检测,导致攻击者可以直接进行post注入。部署了该防火墙的站点,以get方式提交注入关键字被拦截。证明图如下:
http://www.myhack58.com/Article/UploadPic/2013-4/20134219165257499.png
转为post方式再次提交,返回404页面。证明图如下:
http://www.myhack58.com/Article/UploadPic/2013-4/20134219173238970.png
页:
[1]