보안/Bypass WAF (1) 썸네일형 리스트형 Bypass WAF 웹방화벽 우회 기법 and DBMS별 우회 기법 1.SQL은 대소문자를 구별하지못한다 EX)SeleCT=SELECT2.악성키워드가 들어오면 공백으로 치환하는 경우도 있다 EX)UNunionION 에서 union이 공백으로 처리되어 UNION으로 완성된다3.문자열 우회 EX) reverse('nimda') 또는 concat('adm','in') 또는 문자열을 16진수로 표현하여 x'61646d696e'또는 0x61646d696e 로 admin을 표현할수있다4.연산자 우회 EX) and를 &&로 or을 ||으로 우회할수있다 이외에도 다른연산자들을 우회할수있다5.공백 우회 EX) SELECT/**/'abc';=SELECT 'abc';와 같다 그리고 (')을 사용하면 공백처리를 할수있다6.mysql에서만 가능한 문자열우회 EX) select mid(@@ver.. 이전 1 다음