1.漏洞背景
在当今数字化时代,网络安全已成为企业和个人面临的最重要的挑战之一。随着越来越多的业务和交流活动转移到线上,网站和网络应用的安全性变得尤为关键。特别是,跨站脚本攻击(XSS)已经成为对网站安全构成威胁的主要攻击方式之一,它不仅危害网络安全,还严重威胁到用户的隐私和数据安全。
在目前的各大src市场上,waf的拦截方法层出不穷。经典的某讯,某里,某盾的云waf,也是市场占有率比较高的产品。其次,还有各种厂商自研waf,用来阻止xss插入。
然而,一个关键问题浮现:是否存在一种“通用方法”能够绕过这些多样化的WAF系统,实现XSS攻击?答案并不简单。XSS攻击的绕过技术不断进化,但这并不意味着存在一种万能的绕过所有WAF的方法。
2.漏洞实例
通过网站指纹,在fofa寻找一个别人搭建好的靶场用来做测试环境。
我们用靶场环境模拟真实src环境。
如图所示,解析了img标签,我们插入一个最简单的基础语法。
<a onpointerover="alert(123)">test</a>confirm()等。常见的标签,事件,我们应该如何绕过呢
。
根据笔者搭建的一个xssbypass平台,生成playload
http://www.php1nf0.top/xss/bypass.php
o='',e=!o+o,x=!e+o,d=o+{},c=e[o++],v=e[y=o],t=++y+o,u=d[y+t],e[u+=d[o]+(e.x+d)[o]+x[t]+c+v+e[y]+u+c+d[o]+v][u](x[o]+x[y]+e[t]+v+c+"(o)")()这段代码是不是特别陌生,然而,他的实际作用确是代替了[true][constructor][alert(1)],将具体的值变为函数,来规避waf,此方法通用通杀waf对弹窗函数的限制。
很好,替换到环境来测试是否能够解析
能够正常弹窗
如何bypass对事件和标签的禁用呢?
可以通过字典来fuzz哪些函数没禁用。
绕waf步骤:
- 确定解析标签
- fuzz事件
- 网站生成随机函数,插入事件
是不是xss的waf绕过变简单了?
-
原文始发于微信公众号(明暗安全):实战 | 一键自动生成通杀的xss绕过playload
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论