28、XSS跨站之WAF绕过及安全检测

常规WAF绕过思路

标签语法替换
特殊符号干扰
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过

自动化工具说明

xsstrike主要特点反射和DOM xss扫描

手工探针XSS绕过WAF规则

自动化xss绕过WAF测试演示
Fuzz下XSS绕过WAF测试演示
关于XSS跨站安全修复建议测试

修复方案

php:

http://www.zuimoge.com/212.html

java:

https://www.cnblogs.com/baixiansheng/p/9001522.html

涉及资源

https://github.com/3xp10it/xwaf

https://github.com/s0md3v/XSStrike

https://github.com/TheKingOfDuck/fuzzDicts

http://xssfuzzer.com/fuzzer.html

https://bbs.pediy.com/thread-250852.htm

https://gitee.com/yhtmxl/imxss

https://github.com/fuzzdb-project/fuzzdb

最后修改:2021 年 07 月 11 日 07 : 43 PM
如果觉得我的文章对你有用,请随意赞赏