本文介绍了XSS攻击的常规绕过策略,如标签语法替换、特殊符号干扰等,并分享了多种在线 fuzz 工具和自动化检测工具如 XSStrike 的使用方法。XSStrike 提供多线程爬虫、Context分析和强大的fuzzing引擎等功能,支持检测和规避WAF。同时,文章提及安全修复措施,如开启HTTPOnly和使用ContentSecurityPolicy。
小迪
https://www.bilibili.com/video/BV1Jb4y1d7hW?p=28
参考笔记https://www.yuque.com/weiker/xiaodi/nqcvum
https://xssfuzzer.com/fuzzer.html
https://gitee.com/yhtmxl/imxss/
https://github.com/3xp10it/xwaf
https://github.com/s0md3v/XSStrike
https://bbs.pediy.com/thread-250852.htm
https://github.com/TheKingOfDuck/fuzzDicts
常规绕过WAF思路
1.标签语法替换
2.特殊符号干扰
3.垃圾数据溢出
4.提交方式更改
5.加解密
6.其它漏洞配合
拦截
使用<img src=’#‘οnerrοr=‘alert(1)’>或者<img src=’#‘οnerrοr=‘javascript:alert(1)’>,测试是能运行的,’’#表示占位符,可以不放实际的图片,加载图片失败则执行代码
/干扰,但是代码没写进去
测试提交方式
更改代码REQUEST以post提交,因为安全狗检测的get。
加密
xssfuzz在线fuzz工具
自动化工具XSStrike
XSStrike 主要特点反射和 DOM XSS 扫描
多线程爬虫
Context 分析
可配置的核心
检测和规避 WAF
老旧的 JS 库扫描
智能 payload 生成器
手工制作的 HTML & JavaScript 解析器
强大的 fuzzing 引擎
盲打 XSS 支持
高效的工作流
完整的 HTTP 支持
Bruteforce payloads 支持
Payload 编码
-h, --help //显示帮助信息
-u, --url //指定目标 URL
--data //POST 方式提交内容
-v, --verbose //详细输出
-f, --file //加载自定义 paload 字典
-t, --threads //定义线程数
-l, --level //爬行深度
-t, --encode //定义 payload 编码方式
--json //将 POST 数据视为 JSON
--path //测试 URL 路径组件
--seeds //从文件中测试、抓取 URL
--fuzzer //测试过滤器和 Web 应用程序防火墙。
--update //更新
--timeout //设置超时时间
--params //指定参数
--crawl //爬行
--proxy //使用代理
--blind //盲测试
--skip //跳过确认提示
--skip-dom //跳过 DOM 扫描
--headers //提供 HTTP 标头
-d, --delay //设置延迟
-u"http://192.168.17.129/xss-labs-master/level1.php?name=" --fuzzer
WAF Status: waf状态,这里显示离线的原因可能是没识别到安全狗
passed:通过可以使用
filtered:被过滤屏蔽
其它工具
使用fuzz
记得设置延时防止被请求频繁
安全修复方案
开启 httponly,输入过滤,输出过滤等
PHP:http://www.zuimoge.com/212.html
JAVA:https://www.cnblogs.com/baixiansheng/p/9001522.html
使用CSF(Content Security Policy)安全策略:CSF是一种白名单防御策略,所有不在名单内的资源都不被信任,有效的防止了通过外部的标签、脚本、JS文件等资源的入侵形式 作者:沙漠里的鲸 https://www.bilibili.com/read/cv14079007 出处:bilibili
扫一扫
395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
