Beyond SQLi: Obfuscate and Bypass

devacanta · October 6, 2011

SQL comments allow us to bypass a lot of filtering and WAFs.
---------------------------------------------------------------	
http://victim.com/news.php?id=1+un/**/ion+se/**/lect+1,2,3--
[End Code]-----------------------------------------------------------

sa imi zica cineva daca a reusit sa treaca de WAF cu asa ceva..

denjacker · October 6, 2011

Niciodata.. pe nici un tip de DBMS.

Exemplul acesta este un simplu mit.

Pe MySQL de exemplu nu va merge sub nici o forma. Ar putea totusi functiona doar in cazul in care filtrul respectiv va sterge /**/ din sintaxa astfel incat un/**/ion sa devina union .

Alta posibilitate nu exista.

Sign In

Beyond SQLi: Obfuscate and Bypass

Recommended Posts

devacanta

denjacker

Join the conversation

Browse

Activity

Pages