SQL Injection Testlerinde IPS Atlatmak için Tamper Script Kullanımı

Sızma testlerinde bazı durumlarda bir SQLi zafiyeti tespit edilse dahi istismar(exploitation) işlemi düşünüldüğü kadar kolay olmayabiliyor. Hedef sistemde kurulu olan IPS'i,  WAF’ı atlatmak, hedef uygulamanın yapısından dolayı bazı karakterlerden kaçınmak veya logların analizini zorlaştırmak gibi amaçlarla sqli payloadınının bazı kısıtlara uyması ya da encode edilmesi istenilebilir.  SQLMap’in oluşturduğu payloadı hedef sisteme göndermeden hemen önce üzerinde istenilen değişiklikler tamper betikleri kullanılarak yapılabilir. Betik Yapısı SQLMap’in tamper betiği yapısı üç parçaya bölünebilir. Kütüphanelerin belirlendiği…
Devamı