DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Sử dụng tamper script trong sqlmap để vượt qua waf
Hiện nay, rất nhiều các website được bảo vệ bởi các waf nhằm phát hiện cũng như ngăn chặn các tấn công web như sqli, xss. Trong bài viết này mình sẽ hướng dẫn các bạn cách sử dụng các tamper script trong sqlmap để vượt qua waf.
Mục đích của các tamper là nhằm thay đổi các yêu cầu (request) nhằm trách xa sự phát hiện của waf.
Ví dụ khi bạn sử dụng hai tamper script: space2hash.py và space2morehash.py, yêu cầu của bạn sẽ được thay đổi như dưới đây:
Input: 1 AND 1234=1234
Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A1234=1234
Trong sqlmap có rất nhiều tamper, bạn có thể tìm hiểu chúng ở đây.
Các bạn có thể xem video dưới đây để hiểu rõ hơn nhé
[video=youtube;e9w_jhkVYFI]https://www.youtube.com/watch?v=e9w_jhkVYFI[/video]
Mục đích của các tamper là nhằm thay đổi các yêu cầu (request) nhằm trách xa sự phát hiện của waf.
Ví dụ khi bạn sử dụng hai tamper script: space2hash.py và space2morehash.py, yêu cầu của bạn sẽ được thay đổi như dưới đây:
Input: 1 AND 1234=1234
Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A1234=1234
Trong sqlmap có rất nhiều tamper, bạn có thể tìm hiểu chúng ở đây.
Các bạn có thể xem video dưới đây để hiểu rõ hơn nhé
[video=youtube;e9w_jhkVYFI]https://www.youtube.com/watch?v=e9w_jhkVYFI[/video]