Hedef web uygulamada
SQL Injection güvenlik açığı tespit edilse bile normal şartlarda
Sqli komutları işlem görmüyorsa büyük ihtimalle uygulamanın önünde konumlandırılan bir
WAF (Web Application Firewall) tarafından algılanıp engelleniyordur.
SQL Injection saldırılarında çeşitli
bypass (atlatma) yöntemleri kullanırız, örneğin;
büyük küçük harf karmaşası, komutların çeşitli algoritmalarla encode edilmesi gibi...
SQLmap'in
WAF, IPS gibi saldırı engelleme sistemlerini bypass etmesi için "
tamper script" özelliği bulunmaktadır.
Aşağıda WAF kullanan bir sisteme SQLmap'in varsayılan kullanım parametresi verilmiştir ve sonuç alınamamıştır: