文章来源|MS08067 Web漏洞挖掘班 第3期
本文作者:Hi2x(Web漏洞挖掘班讲师)
以下测试均为授权渗透测试:
探测规则1
在页面发现一处富文本编辑器,并且该内容提交后会显示在对应页面上,这里第一个想到的就是XSS了。
先整个最简单的XSS的Payload试试,抓包看现象:
发现输入的标签会被HTML实体化编码,所以每次构造Payload时需要解HTML实体。
从回包的状态码403和Server值可以判断是被Waf拦截了。
那么这时如果我们想要绕Waf的话,就要去思考它对应的正则匹配的规则可能存在的情况了:
1.匹配script
2.匹配alert
3.匹配<.*?>
4.匹配<script>
5.匹配<script>.*?alert.*?</script>
注:.*?表示非贪婪比配,可以匹配任意字符,直到下一个字符出现为止。例如:<.*?>可以匹配<符号开头、后面可以有任意字符直到匹配到>为止。
大致推出比较有可能的就是这集中情况,那我们就可以进行一一验证:
script
alert
<(.*?)>