슬롯 커뮤니티의 연구팀은 DOM 이벤트를 사용하여 AWS WAF를 우회하는 방법을 발견했습니다.
WAF는 일반적으로 웹 응용 프로그램을 사기로부터 보호하기 위해 배치되지만,이 발견은 AWS WAF가 완벽하지 않다는 것을 보여주었습니다.
연구팀은 AWS WAF 규칙 세트를 테스트하고 그 한계를 탐색했습니다.
특히`onbeforeToggle '이벤트를 사용하면 WAF 보호를 피하고 JavaScript 코드를 실행할 수 있음을 발견했습니다.
이 기술로 인해 공격자가 악의적 인 스크립트를 취약한 응용 프로그램에 삽입하여 사용자 데이터 및 시스템 안전을 위험에 빠뜨릴 수 있습니다.
결과적으로, 모든 보안 솔루션이 불완전하고 항상 조정되고 테스트되어야한다는 것이 강조되었습니다.
이 바이 패스 기술은 F5 WAF 및 Modsecurity로도 테스트되었으며 페이로드를 올바르게 차단할 수 있음이 확인되었습니다.