← WAF Test Dashboard

OWASP WAF Test Site

ℹ WAF Sandbox. Mọi endpoint bên dưới giả lập lỗ hổng (echo input, không thực thi). Dùng để kiểm chứng CDN/WAF chặn request độc trước khi tới origin. Request hợp lệ: origin=200 / CDN=200. Request độc: origin=200 / CDN=403.

1. Injection

SQLi

SQL Injection

Reflected SQL query với tham số id.

OR 1=1 UNION
NoSQL

NoSQL Injection

Mongo-style query operators.

$ne $regex
CMD

Command Injection

Shell metacharacters trong tham số host.

;cat backtick
LDAP

Log4Shell / JNDI

JNDI lookup trong input log.

JNDI LDAP

2. Cross-Site Scripting

XSS

Reflected XSS

Echo query vào HTML, không escape.

script img onerror
XSS

Stored XSS (guestbook)

Lưu rồi hiển thị lại không escape.

SSTI

Template Injection

Jinja/Twig/Spring EL payload.

{{7*7}}

3. File / Resource Access

LFI

Path Traversal / LFI

Đường dẫn leo thư mục.

../../etc/passwd
RFI

Remote File Inclusion

Include file từ URL ngoài.

external php
SSRF

SSRF

Fetch URL từ phía server (giả lập).

AWS metadata
XXE

XML External Entity

POST XML với external entity.

Upload

File Upload

Upload file không giới hạn loại.

4. Authentication / Session

Auth

Login (brute-force)

Login form không rate limit phía origin — để WAF/CDN xử lý.

JWT

JWT None alg

Token decoder không verify signature.

5. Protocol / Redirect

Redirect

Open Redirect

302 Location đến URL tùy ý.

to evil.com
Legacy

Shellshock (UA)

Header-based Bash bug probe.

6. False-positive endpoints (phải luôn 200)

OK

Benign Search

Query hợp lệ tiếng Việt/có dấu.

OK

Benign Article

Bài viết có ký tự đặc biệt, &, ', %.

OK

Benign Form

Form submit bình thường.