码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • XSS绕过安全狗WAF


    今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS绕过安全狗WAF。

    一、测试环境搭建

    我们使用Vmware虚拟机搭建靶场环境。在Vmware虚拟机上,安装有PHPStudy,如下所示:
    在这里插入图片描述
    然后安装安全狗WAF,安全狗WAF有一系列的防护规则,如下所示:
    在这里插入图片描述
    我们以DVWA和xss-labs作为测试网站,来测试安全狗对XSS攻击的防护能力及绕过姿势。

    二、XSS绕过安全狗WAF

    (一)xss-labs靶场XSS绕过

    我们选择使用xss-labs靶场的第二关作为攻击目标,我们直接输入XSS测试语句,结果如下所示:
    在这里插入图片描述
    从上图可以看出,我们的XSS测试语句被安全狗拦截。之后,我们尝试利用video标签构成XSS测试语句,payload如下所示:

    keyword="><video%0asrc=123 onerror=alert(1)>
    
    • 1

    发现可以成功绕过WAF安全狗,结果如下所示:
    在这里插入图片描述
    此外,经过尝试,我们发现还可以利用button按钮来构造XSS测试语句,构造的payload如下所示:

    keyword="><button%20onfocus=alert(1)%20autofocus>
    
    • 1

    上述payload结果如下所示:
    在这里插入图片描述

    (二)DVWA靶场XSS绕过

    我们使用DVWA靶场反射性XSS关卡,使用常规的XSS测试语句尝试,发现出现安全狗拦截,如下所示:
    在这里插入图片描述
    如同xss-labs靶场绕过一样,我们使用video标签来绕过,构造payload如下所示:

    name=<video%20src=1%20onerror=alert(1)>#
    
    • 1

    发现可以成功绕过,结果如下所示:
    在这里插入图片描述
    原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

  • 相关阅读:
    阿里云AliGenie开发天猫语音功能-入门篇
    MySQL高级:函数(二)自定义函数
    日入过万的粗暴玩法
    electron
    SpringBoot下Gradle-多环境打包配置详解
    基于HTML+CSS+JavaScript仿车蚂蚁网页设计与实现 (24页)
    【Windows】搭建 FTP 服务器
    关于js实现斐波那契数列的一些思考(递归、循环、尾递归优化)
    灰度发布、蓝绿发布、滚动发布
    (WSI分类)WSI分类文献小综述
  • 原文地址:https://blog.csdn.net/weixin_40228200/article/details/128045757
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号