第28天-WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复

已于 2022-03-14 20:24:27 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 2020小迪安全—渗透测试学习笔记 文章标签: 安全 前端 xss
于 2022-03-13 18:29:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MCTSOG/article/details/123463582
版权
本文介绍了XSS攻击的常规绕过WAF的方法,包括特殊符号干扰、标签语法替换、提交方式更改等,并提到了自动化工具XSStrike的特性与用法。同时,讨论了安全修复方案,如开启HTTPOnly和过滤机制,并提供了PHP和JAVA的示例。此外,还分享了多个XSS练习平台和测试工具,强调了跨站安全的重要性。
摘要由CSDN通过智能技术生成

前言

看视频,没啥写的!水!

在这里插入图片描述

常规 WAF 绕过思路

特殊符号干扰

<sCript Src= 'http://' 
 <sCript Src= 'http://' #>

标签语法替换
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过

自动化工具说明

https://github.com/s0md3v/XSStrike

XSStrike 主要特点反射和 DOM XSS 扫描
多线程爬虫
Context 分析
可配置的核心
检测和规避 WAF
老旧的 JS 库扫描
智能 payload 生成器
手工制作的 HTML & JavaScript 解析器
强大的 fuzzing 引擎
盲打 XSS 支持
高效的工作流
完整的 HTTP 支持
Bruteforce payloads 支持
Payload 编码
-h, --help //显示帮助信息
-u, --url //指定目标 URL
–data //POST 方式提交内容
-v, --verbose //详细输出
-f, --file //加载自定义 paload 字典
-t, --threads //定义线程数
-l, --level //爬行深度
-t, --encode //定义 payload 编码方式
–json //将 POST 数据视为 JSON
–path //测试 URL 路径组件
–seeds //从文件中测试、抓取 URL
–fuzzer //测试过滤器和 Web 应用程序防火墙。
–update //更新
–timeout //设置超时时间
–params //指定参数
–crawl //爬行
–proxy //使用代理
–blind //盲测试
–skip //跳过确认提示
–skip-dom //跳过 DOM 扫描
–headers //提供 HTTP 标头
-d, --delay //设置延迟

安全修复方案

开启 httponly,输入过滤,输出过滤等
PHP:http://www.zuimoge.com/212.html
JAVA:https://www.cnblogs.com/baixiansheng/p/9001522.html

JAVA XSS 平台练习

演示案例:

手工探针 XSS 绕过 WAF 规则

自动化 XSS 绕过 WAF 测试演示

Fuzz 下 XSS 绕过 WAF 测试演示

关于 XSS 跨站安全修复建议测试

涉及资源:

https://gitee.com/yhtmxl/imxss/
https://github.com/3xp10it/xwaf
https://xssfuzzer.com/fuzzer.html
https://github.com/s0md3v/XSStrike
https://bbs.pediy.com/thread-250852.htm
https://github.com/s0md3v/XSStrike
https://bbs.pediy.com/thread-250852.htm
https://github.com/TheKingOfDuck/fuzzDicts

IsecNoob
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS绕过waf
m0_52813136的博客
07-28 1251
XSS绕过waf靶机
小迪安全学习笔记--第28web漏洞-xss跨站WAF绕过安全修复
zr1213159840的博客
01-03 582
常规WAF绕过思路 标签语法替换 特殊符号干扰 提交方式更改 垃圾数据溢出 加密解密算法 结合其他漏洞绕过 xssfuzzer.com可以自动生成语句 自动化工具说明 xssstrike主要特点反射和dom xss扫描 多线程爬虫,context分析,可配置核心,检测和规避waf,老旧的js库扫描,只能payload生成器,手工制作HTML和js解析器 https://github.com/s0md3v/XSStrike 安全修复方案 开启httponly 输入输出过滤等等 php相关:www.zuimog
WEB漏洞-XSS跨站WAF绕过安全修复
硫酸超的博客
08-17 680
WEB漏洞-XSS跨站WAF绕过安全修复waf防护演示常规WAF绕过思路XSStrike自动化工具说明XSStrike主要特点反射和DOM XSS扫描Fuzz下XSS绕过WAF安全修复方案 waf防护演示 靶场:xss-labs 被安全狗拦截 分析拦截情况 分析方法: 1、通过去除关键词或关键词的其中些字母判断拦截了什么关键词,如下正常 2、分析了拦截情况可知也可能是尖括号里面如果有s、o之类的关键词其中的某个或多个字母的话就会拦截,正则表达式 3、不拦截,但是不管用 4、正常,并且可以访问
网络安全笔记 -- XSS跨站(原理、分类、WAF绕过安全修复
swy66的博客
08-22 1481
简单讲了XSS跨站脚本攻击原理和分类
重生之我是赏金猎人(五)-多手法绕过WAF挖掘某知名厂商XSS
weixin_44948325的博客
03-26 1895
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前奏 近在测试某知名安全⼚商的过程中,发现其⼀处重要业务的⼦域竟出现了难得⼀⻅的⾃研WAF,如此⼀来勾起了我的兴趣~ 仔细研究该业务点后,发现某处传参,会直接将传参内容写⼊
绕过WAFXSS语句
focus on security
02-25 2164
吐血整理转载请说明。 原文收集于OWASPXSS_Filter_Evasion_Cheat_Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet http://ha.ckers.org/xss.html 正文: XSS JavaScript injection: <SCRIPT SRC=ht...
XSS绕过简单WAF总结
weixin_50464560的博客
08-01 2173
https://www.cnblogs.com/wjrblogs/p/12341190.html 一、一般测试方法# 步骤: 0.总则:见框就插 1.在输入框随便输入一些简单的字符,如 aaa,方便后续查找输出位置 2.按下F12打开开发者模式,ctrl+F键,搜索 aaa 3.多数情况下是在标签的value="aaa"中,或者独立出来包含在一些别的标签中,如div、span等 4.根据特定情况构造payload,一般是直接构造标签或者闭合标签再构造或者利用伪协议等 二、常用技巧# 1.JS伪协议利用 形式
xss绕过字符过滤_XSS小技巧绕过WAF
weixin_39718521的博客
01-04 460
XSS小技巧绕过WAF0x01最初发现来自实验室的小伙伴,但是仅限于弹窗,后来发现这种类型的payload构造思路来自WriteupXSS挑战第二期Writeup以及使用了fuzz的一些小技巧,可以实现任意js代码执行.绕云waf简单的方式就是绕过cdn,找真实ip,翻一下历史解析记录基本都能找到,也有一些工具,比如我在另一篇文章集的fuckcdn有些时候绕不过去cdn,又存在xss漏...
XSS绕过WAF的姿势
weixin_34112208的博客
05-16 400
初始测试 1.使用无害的payload,类似<b>,<i>,<u> 观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3.尝试以下payload <script>prompt(1)<...
WAF跨域配置
focus on security
07-25 1385
为了保证web业务的安全性,在业务之前增加了WAF反向代理,由WAF回源到真实的业务server。此时真实server的前面是WAFWAF作为反向代理客户端的请求首先到WAF,如果真实server业务里有跨域场景,而WAF没有满足相应的跨域配置,就会影响到业务导致部分功能不可用。 什么是跨域Cross-Origin Resource Sharing? 跨域是浏览器行为,不是waf也不是业务server问题。 CORS跨域资源共享是一个系统,它由一系列传输的http头组成,这些http头决定浏览.
渗透防火墙绕过
weixin_46626737的博客
03-13 813
隔两三秒),还可以通过修改请求包的user-agent为百度,360等搜索引擎的信息,从而伪造成搜索引擎在爬取网页,从而不会造成拦。Ⅰ.当利用工具进行扫描时,比如扫描路径,对方开启了wafCC流量检测,则返回的结果会产生误报,可以通过延时扫描来绕过(每次扫描间。还可以利用Xray和awvs,bp联合起来,bp当中转,xray当主要扫描工具,awvs当绕过方式(降低速度,请求头爬虫引擎)②自写轮子:自己抓菜刀蚁剑的读取文件,执行命令的数据包,进行解密,然后自己进行修改,达到目的,进行在网页上的操作,
WAF攻防第八十
最新发布
B_l_a_nk的博客
07-07 385
1、SQL注入&文件上传绕过 2、XSS跨站&其他漏洞绕过 3、HPP污染&垃圾数据&分块等
xss跨站waf绕过安全修复28
san3144393495的博客
05-28 1833
然后访问还是正常的,这个就是特殊符号干扰方法,常见的就是#,因为#在web里面是注释的,他是通用的,特符都可以用来干扰,有一些符号就是截断或者注释的做用,代码去匹配一些关键字的时候,防止他匹配的后面或者前面的关键字,来绕过。因为xss,他的执行效果可以由多个代码实现,就是用到其他的函数,功能来替换,在跨站中想实现那种功能,也是可以应用到不同的操作语句去实现同一个目的,比如下面这串代码,取得的功能是一样的,去掉最后字符串,访问还是拦截,再去掉alert(1),访问还是拦截,再去掉尖括号里面一个字符。
XSSWaf绕过及工具使用(附靶场通关记录,持续更新)
m0_51468027的博客
02-01 5136
熟悉常见的waf绕过方法和工具使用,附靶场通关记录
Web漏洞探索】跨站脚本漏洞
kjcxmx的博客
08-03 3984
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
XSS测试绕过WAF思路
永远是少年
11-26 1315
继续给大家介绍渗透测试相关知识,本文主要内容是XSS测试绕过WAF思路。 一、XSS测试绕过WAF思路 二、常见XSS可替换标签
[转]XSS现代WAF规则探测及绕过技术
12-18 222
初始测试 1、使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3、尝试以下的payload &lt...
xss_waf绕过
weixin_44110913的博客
08-21 1545
写在前面: ————————————————————————————————————————————————— 当你的才华 还撑不起的野心时 那你就应该静下心来学习 ————————————————————————————————————————————————— 第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值