2021/12/9 xss跨站绕过及修复

小迪

https://www.bilibili.com/video/BV1Jb4y1d7hW?p=28
参考笔记https://www.yuque.com/weiker/xiaodi/nqcvum
https://xssfuzzer.com/fuzzer.html
https://gitee.com/yhtmxl/imxss/
https://github.com/3xp10it/xwaf
https://github.com/s0md3v/XSStrike
https://bbs.pediy.com/thread-250852.htm
https://github.com/TheKingOfDuck/fuzzDicts

常规绕过WAF思路

1.标签语法替换
2.特殊符号干扰
3.垃圾数据溢出
4.提交方式更改
5.加解密
6.其它漏洞配合

拦截


使用或者,测试是能运行的，''#表示占位符，可以不放实际的图片,加载图片失败则执行代码

/干扰，但是代码没写进去

测试提交方式
更改代码REQUEST以post提交，因为安全狗检测的get。


加密

xssfuzz在线fuzz工具

自动化工具XSStrike

XSStrike 主要特点反射和 DOM XSS 扫描
多线程爬虫
Context 分析
可配置的核心
检测和规避 WAF
老旧的 JS 库扫描
智能 payload 生成器
手工制作的 HTML & JavaScript 解析器
强大的 fuzzing 引擎
盲打 XSS 支持
高效的工作流
完整的 HTTP 支持
Bruteforce payloads 支持
Payload 编码

-h, --help 			//显示帮助信息
-u, --url 			//指定目标 URL
--data 					//POST 方式提交内容
-v, --verbose 	//详细输出
-f, --file 			//加载自定义 paload 字典
-t, --threads 	//定义线程数
-l, --level 		//爬行深度
-t, --encode 		//定义 payload 编码方式
--json 					//将 POST 数据视为 JSON
--path 					//测试 URL 路径组件
--seeds 				//从文件中测试、抓取 URL
--fuzzer 				//测试过滤器和 Web 应用程序防火墙。
--update 				//更新
--timeout 			//设置超时时间
--params 				//指定参数
--crawl 				//爬行
--proxy 				//使用代理
--blind 				//盲测试
--skip 					//跳过确认提示
--skip-dom 			//跳过 DOM 扫描
--headers 			//提供 HTTP 标头
-d, --delay 		//设置延迟

 -u"http://192.168.17.129/xss-labs-master/level1.php?name=" --fuzzer

WAF Status： waf状态，这里显示离线的原因可能是没识别到安全狗
passed:通过可以使用
filtered:被过滤屏蔽

其它工具

使用fuzz

记得设置延时防止被请求频繁

安全修复方案

?
开启 httponly,输入过滤，输出过滤等

PHP:http://www.zuimoge.com/212.html
JAVA:
使用CSF(Content Security Policy)安全策略：CSF是一种白名单防御策略，所有不在名单内的资源都不被信任，有效的防止了通过外部的标签、脚本、JS文件等资源的入侵形式 作者：沙漠里的鲸 https://www.bilibili.com/read/cv14079007 出处：bilibili