文章总结: 文档记录了针对某知名云WAF产品XSS防护机制的绕过测试过程。作者发现目标站点输入标签存在反射点,初步尝试构造onmouseover事件触发XSS时遭遇拦截。通过逐步删减Payload测试规则,发现该WAF主要拦截事件属性后的双引号闭合结构。作者最终确认可通过特定方式绕过闭合检测,为后续深入利用奠定了基础,文章目前仅展示了初步发现阶段。 综合评分: 60 文章分类: WEB安全,渗透测试,漏洞分析,SRC活动
bypass ***盾的 XSS(一)
原创
钮钴禄-杰 钮钴禄-杰
jacky安全
2026年3月12日 22:40 北京
事情的起因是这样的,杰哥今天下班后回到出租屋进入坦诚相待状态准备上网激情冲浪,浏览正嗨的准备起飞的时候网站突然变成这个界面了⬇️🥵🥵🥵
于是乎杰哥开始google搜索大法,略微了解了一下这个产品:
** 盾是国内知名网络安全公司****宇旗下的核心云防御产品。它本质上是一款下一代Web应用防火墙(WAF),专门为政府机构、企事业单位的网站及业务系统提供全方位的安全防护。 其核心核心功能之一的是:
- Web应用防火墙 (WAF):拦截 SQL 注入、XSS 跨站脚本、恶意采集、恶意篡改等黑客攻击。 据杰哥所知***盾对 XSS 的防护策略为:
- 特征匹配:基于海量攻击样本库,实时拦截包含恶意脚本的请求。
- 语义分析:识别经过编码、变形后的 XSS 攻击载荷。
- 拟态防御:通过动态变化和多维验证,识别未知的 XSS 变体。
- 威胁情报联动:实时阻断已知攻击源发起的 XSS 探测。
起飞失败的杰哥直接被二弟夺舍了身体控制权,开启了今日的一系列骚操作
老生常谈的开局先蹭蹭,由于此时杰哥的火气很大,上下齐操作一不小心就扣到了G点!杰哥发现竟然是input标签小头直接控制杰哥对其插
%22+onmouseover%3D
回显如下:
<input name="query" autocomplete="off" type="text" value="" onmouseover=">
可以看到是可以闭合前面双引号的,并且onmouseover 没有被过滤,
难道这么简单就捡洞了吗?
让我们跟住杰哥的节奏~~
常言道“抽刀断水,水更流”随着杰哥逐渐拨开小花园的草丛就可以直达“天津之眼”也就是说后面只要在on事件里面构造能造成xss的函数即可,
杰哥只好掏出裤兜里的跳弹函数“alert”
简单调整下功率 onmouseover=”alert(1)”
%22+onmouseover%3D%22alert(1)%22
TMD! 甘 403了
遇到**盾了,杰哥只好一点一点往里插payload了,先一步步的来测试拦截规则
破坏alert(1)
alexrt(1)%22+onmouseover%3D%22alexrt(1)%22
状态码依旧 403,再插
alexrt1)%22+onmouseover%3D%22alexrt1)%22
状态码仍然 403
测试到这里,直接把整个 alexrt1) 都去掉,换成a 继续抽插插插插插插插插
a%22+onmouseover%3D%22a%22
MD 403了,那就抽出来,再把下面的也插进去!!!
%20 %22+onmouseover%3D%22%20%22
还是403,目前来说还处于前戏阶段
手指伸展,开插
%22+onmouseover%3D%22%%22
还是403不过这个时候,杰哥的大头貌似清醒了一些,他发现
**盾会拦截 onmouseover=”x” 的形式,也就是不让后面双引号闭合,这样就有意思多了啊,直接与**盾对掏
这里直接把 onmouseover 换成 nmsl
例如: nmsl=”1″//
简单测试一下
input:%22+nmsl%3d%221"//回显:<input name="query" autocomplete="off" type="text" value="" nmsl="1"//">
这样看来已经完成了双引号的闭合,接下来就是实现弹窗函数的bypass啦
tip:笔者要哄老婆睡觉,今天先记录到这里⁽⁽٩(๑˃̶͈̀ ᗨ ˂̶͈́)۶⁾⁾
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:jacky安全 钮钴禄-杰 钮钴禄-杰《bypass ***盾的 XSS(一)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论