Как его обойти в SQLmap ?

Никак. Мод_секурити ставят специально чтоб таким вот кулхацкерам жизнь усложнить.

Чтобы его обойти надо скулю вручную раскуривать а не думать что программа каким-то чудесным образом сама за тебя сайт взломает.

Есть ещё более сложные способы, например поднять сервер с таким-же набором софта и посмотреть как настроен мод_секурити, но боюсь это вариант не для тебя.

Sensoft said:
↑ (https://antichat.live/posts/4189300/)
Как его обойти в SQLmap ?


тампер свой пиши , по нагрузке можешь проверить https://github.com/Ekultek/WhatWaf

тампер свой пиши


А что это? В гугле какая-то электроника.

loidez said:
↑ (https://antichat.live/posts/4192724/)
А что это? В гугле какая-то электроника.


https://github.com/sqlmapproject/sqlmap/tree/master/tamper

loidez said:
↑ (https://antichat.live/posts/4192724/)
А что это? В гугле какая-то электроника.


https://pentest.blog/exploiting-second-order-sqli-flaws-by-using-burp-custom-sqlmap-tamper/

--tamper=between,modsecurityzeroversioned

Не надо ничего писать, надо ручками, ручками всё, бывают такие вектора, что ояебу

Вот ещё варианты почитай тут (http://repo.xposed.info/module/org.flacid.exchangebypass) и тут (https://rdot.org/forum/showthread.php?t=3481) а вообще в google забей bypass Mod_Security вот ещё на packetstorm (https://packetstormsecurity.com/files/122093/Mod_Security-Cross-Site-Scripting-Bypass.html) почитай...

Ну а если sqlmap используешь попробуй так https://www.------.com/index.php?id=1" --tor --random-agent --check-waf --tamper="apostrophemask,apostrophenullencode,appendnullbyte ,base64encode,between,bluecoat,chardoubleencode,ch arencode,charunicodeencode,concat2concatws,equalto like,greatest,halfversionedmorekeywords,ifnull2ifi snull,modsecurityversioned,modsecurityzeroversione d,multiplespaces,nonrecursivereplacement,percentag e,randomcase,randomcomments,securesphere,space2com ment,space2dash,space2hash,space2morehash,space2ms sqlblank,space2mssqlhash,space2mysqlblank,space2my sqldash,space2plus,space2randomblank,sp_password,u nionalltounion,unmagicquotes,versionedkeywords,ver sionedmorekeywords" хотя выше ребята тебе правильно сказали программой ты врятли обойдешь конечно если там по default все не настроено. Я обычно все sql injection в burp suite кручу и waf в нём же обхожу..