הרבה אנשים משתמשים בcheet sheets כדי לעבור את הWAF שמציג שגיאת 403 - Forbidden.
Web Application Firewall==WAFl (לכל מי שלא ידע)

ויש טריק די ידוע לעבור את הERROR הזה, והוא ברוב המקרים עובד.
במקום לכתוב
union select 1,2,3,4,5
כותבים:
/*!50000union*/ /*!50000select*/ 1,2,3,4,5
ל"דברים"(/*!123456 וגם */) האלה קוראים C-Style comments.
רוב האנשים שמשתמשים בזה, לא יודעים למה הם משתמשים בזה, התשובה שלהם ששאלתי אותם הייתה "זה עובר את הWAF", לא יותר, ללא פירוט איך ולמה.
אז פה אני יסביר לרוב שכן משתמשים ולא יודעים או שבכלל לא מכירים את זה.

חשוב לדעת לפני שמתחילים לקרוא:
פורמט הגירסא של הMYSQL בנוי בצורה הזו:
X.XX.XX
זאת אומרת שזה יכול להיות ככה:
5.12.55
או ככה:
5.01.00
וכו'

--

נתחיל מדוגמא ופירוט:
נגיד ובהזרקה שלנו אנחנו רושמים(זה חלק קטן כמובן, ממש קשן):
/*!12345union*/
מה קרה פה?
כשביצענו את זה, השרת MySQL ניתח את הבקשה שלנו והוא יבצע את זה רק אם הגירסא גדולה מ1.23.45, שמתם לב מה קרה פה? זוכרים את ההסבר של מה הפורמט של הגירסא בMySQL? זה זה, רק בלי נקודות.
מפחיד עד כמה שזה פשוט, הא?
עכשיו בואו נשחק בזה:
/*!50000union*/
זה יבוצע רק אם הגירסא גדולה מ5.00.00, בד"כ הגירסאות הן 5.20.35 או משהו קרוב לזה...נדיר למצוא 5.00.00.
אז מה זה?
/*!union*/
פשוט מאוד, זה אומר: "אם הגירסא מעל 0, תבצע את השאילתה".

מה למדתם?
בוחן מהיר: ג'ון קיבל שגיאת 403 Forbidden כשהוא ניסה להזריק, הוא ניסה להשתמש בC-Style comments כדי לעבור את הWAF בצורה כזו :
/*!65432union*/
כמה דברים שצריך לשים לב.
לפעמים השימוש בC-Styles comments נצרך גם על SELECT(כמו בדוגמא של ההתחלה) אז לא ללכת כמו תוכי לפי המדריך ולעשות רק על UNION, תהיו יצירתיים.
C-Styles Comments חל גם על פונקציות כמו concat(), תיכנסו ללינק שבהפניות שמתי(ההוא של הפייסטבין) ותבינו איפה עוד אפשר עוד להשתמש בזה.

הפניות.
http://dev.mysql.com/doc/refman/5.1/en/comments.html
http://pastebin.com/raw.php?i=KAYQ4eDk


קרדיט ל-ZixeM.