我们基于一些简单的规则(如块脚本和 SQL 注入)创建了一个带有 WAF 的新 LB,我们阅读了 owasp 示例和 WAF 文档。我们无法触发请求的阻止。
一个简单的例子,如:
https://usite.com/index.php?name=%3Cscript%3Ewindow.onload%20=%20function()%20{var%20link=document.getElementsByTagName(%22a%22);link[0].href=%22http://not-real-xssattackexamples.com/%22;}%3C/script%3E
和:
/?id=1+union+select+1,2,3/*
index.php?id=1/*uni X on*/union/*sel X ect*/select+1,2,3/*
我们如何触发请求脚本的阻塞?