Toujours pas de FeedBack de Herr BlueCoat, Je vais donc prendre les devants et tenter de corriger cela.
Vous pouvez dès à présent utiliser mon humble contribution de Tamper special bluecoat directement dans sqlmap, celle-ci ayant été acceptée.
https://github.com/sqlmapproject/sqlmap/blob/master/tamper/bluecoat.py
Pour ceux qui veulent tout de même se protéger un peu plus (Sachant que l’on ne fera pas de miracles), voici ce que je préconise pour au moins protéger une SQLi dans un parametre de get avec un taux raisonable de faux positifs (Pour les headers ou les POSTs ou MSSQL pas de miracles, je ne suis pas Jesus)
<proxy>
FORCE_DENY url.query.regex="select[^0-9a-z]" url.query.regex="(?:case|union|like|from)[^0-9a-z]"
FORCE_DENY url.query.regex="sleep[^a-z\.]"
FORCE_DENY raw_url.query.regex= "(?:\)|%29)" url.query.regex="benchmark[^0-9a-z]"
FORCE_DENY url.query.regex="waitfor" url.query.regex="delay" url.query.regex="\d+:\d+:\d+"
FORCE_DENY url.query.regex="concat([\s\+]|%(?:[0-1][0-f]|2[256b]|3d))*\("
FORCE_DENY url.query.regex="varchar([\s\+]|%(?:[0-1][0-f]|2[256b]|3d))*\("
FORCE_DENY url.query.regex="(N?CHA?R[\s\+]*\(?:[\s\+]*\d\d\d?[\s\+]*\)[\s\+]*[\|+][\|]?){3}"
FORCE_DENY raw_url.query.regex="(?:/|%2f)(\*|%2a)" raw_url.query.regex="(\*|%2a)(/|%2f)"
FORCE_DENY raw_url.query.regex="(?:/|%2f)(\*|%2a)" url.query.regex="!0"
Cela n’empèchera pas toute les détections, mais au moins dump. Tout commentaires est le bienvenu.
A+