20 xssWAF绕过与修复
20.1课程大纲
参考链接: 【小迪安全】Day28web漏洞-XSS跨站之WAF绕过及修复 - 哔哩哔哩 (bilibili.com)
20.2课程截图
20.2.1.在标签前面加入/代表便签结束可以绕过安全狗
(但是有时候会因为会使得标签失效)
20.2.2.xssfuzzer.com可以生成有关xss漏洞的js代码字典
或者也可以使用fuzzdb这个工具生成字典再通过Burp配合进行xss绕过
20.2.3.使用post提交进行绕过
首先在源代码中变量的提交方式必须是request(全局接受)或者post接受,同时安全狗设置为不检测post输入
20.2.4.使用编码进行绕过
(但是前提是浏览器本身能够识别这样的编码)
20.2.5.XSSstrike
有很多这样的工具
使用里面的fuzzer可以得到
可以扫描出那些标签是可以绕过的,哪一些是会被拦截的
或者采用输入这种方式,让其直接使用内置的payload进行测试
20.3修复
输入过滤,输出过程,开启httponly等