Nova técnica combina sintaxe JSON em ataques de SQL Injection

Pesquisadores descobriram uma técnica para evasão de soluções WAF que permite ataques de SQL Injection ao combinar elementos JSON no payload do ataque.

A técnica obteve sucesso contra diversas soluções populares de mercado como Palo-Alto Next Generation Firewall, F5 Big-IP, Amazon AWS ELB, Cloudflare e Imperva.

Os pesquisadores também incluíram o suporte a técnicas de evasão utilizando a sintaxe JSON na ferramenta SQLMap.

Na imagem abaixo é possível observar a aparência do payload.

Fonte:
https://claroty.com/team82/research/js-on-security-off-abusing-json-based-sql-to-bypass-waf