Clarotyはこのほど、「{JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF|Claroty」において、複数のセキュリティベンダーのWebアプリケーションファイアウォール(WAF: Web Application Firewalls)をバイパスするテクニックを発見したと伝えた。SQLインジェクション攻撃を適切に検知するWebアプリケーションファイアウォールを効果的に回避するテクニックが紹介されている。
AWSなど5社のWAFの検知を回避する攻撃手法が見つかる
