部署了该防火墙的站点,以get方式提交注入关键字被拦截。证明图如下:
转为post方式再次提交,返回404页面。证明图如下:
智创waf对某策略检测不严格,导致注入绕过。
详细说明:智创网站专业级防火墙系统(IIS版本)某缺陷导致特定情况下完全被绕过。
漏洞证明:智创waf并没有对post包中sql注入关键字做检测,导致攻击者可以直接进行post注入。
部署了该防火墙的站点,以get方式提交注入关键字被拦截。证明图如下:
转为post方式再次提交,返回404页面。证明图如下:
| 欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |