繞過 XSS 檢測機制 - 網安 - 專業的網絡安全產業、社區、知識平臺

介紹

跨站點腳本 (XSS) 是最常見的 Web 應用程序漏洞之一。它可以通過清理用戶輸入、基于上下文轉義輸出、正確使用文檔對象模型 (DOM) 接收器和源、執行正確的跨源資源共享 (CORS) 策略和其他安全實踐來完全防止。盡管這些預防性技術是公共知識，但 Web 應用程序防火墻 (WAF) 或自定義過濾器被廣泛用于添加另一層安全性，以保護 Web 應用程序免受人為錯誤或新發現的攻擊向量引入的缺陷的利用。雖然 WAF 供應商仍在嘗試機器學習，但正則表達式仍然是檢測惡意字符串的最廣泛使用的方法。

HTML 上下文

當用戶輸入反映在網頁的 HTML 代碼中時，我們就說它在 HTML 上下文中。HTML 上下文可以根據反射的位置進一步劃分為子上下文。

內部標簽-
外部標簽-You entered $input

外部標簽

此上下文的主要字符<負責啟動 HTML 標記。根據 HTML 規范，標簽名稱必須以字母開頭。有了這些信息，可以使用以下探針來確定用于匹配標簽名稱的正則表達式：

- 如果通過，則沒有標簽檢查到位
- 如果失敗，<[a-z]+
x- 如果通過，^<[a-z]+
- 如果失敗，<[a-zA-Z]+
- 如果失敗，<[a-zA-Z0-9]+
- 如果失敗，<.+

如果安全機制不允許這些探測，則無法繞過。由于誤報率高，應勸阻此類限制性規則。

如果上述任何探測未阻塞，則可以使用許多有效負載方案來制作有效負載。

`有效載荷方案#1`

<{tag}{filler}{event_handler}{?filler}={?filler}{javascript}{?filler}{>,//,Space,Tab,LF}

一旦{tag}找到合適的值，下一步就是猜測用于匹配標記和事件處理程序之間的填充符的正則表達式。可以通過以下探針執行此操作：

- 如果失敗，{space}
- 如果失敗，[\s]
- 如果失敗，\s+
- 如果失敗，[\s/]+
- 如果失敗，[\s]+
- 如果失敗，[\s\r+]+
- 如果失敗，.*+

這個組件，即事件處理程序是有效負載結構中最關鍵的部分之一。它通常與 kind 的一般正則表達式on\w+或黑名單（例如on(load|click|error|show). 第一個正則表達式的限制非常嚴格，無法繞過，而黑名單類型模式通常使用不太知名的事件處理程序繞過，這些事件處理程序可能不存在于黑名單中。使用的方法類型可以通過兩個簡單的檢查來識別

- 如果失敗，on\w+. 如果通過，on(load|click|error|show)
- 如果通過，則沒有檢查正則表達式的事件處理程序到位

如果結果是正則表達式on\w+，則不能繞過它，因為所有事件處理程序都以 . 開頭on。在這種情況下，您應該繼續下一個有效負載方案。如果正則表達式遵循黑名單方法，則需要查找未列入黑名單的事件處理程序。如果所有事件處理程序都被列入黑名單，您應該繼續下一個有效負載方案。

在我使用 WAF 的經驗中，我發現黑名單中缺少的一些事件處理程序是：

onauxclick
ondblclick
oncontextmenu
onmouseleave
ontouchcancel

對相鄰的填充物的測試與前面討論的填充物相似，并且只有在被安全機制阻止=時才應進行測試。

下一個組件是要執行的 JavaScript 代碼。它是有效負載的活動部分，但不需要對用于匹配它的正則表達式進行假設，因為 JavaScript 代碼是任意的，因此無法與預定義的模式匹配。

此時將payload的所有組件放在一起，只需要關閉payload即可，可以通過以下方式完成

{space}

應該注意的是，HTML 規范允許表明諸如有效的 HTML 標記。HTML 標簽的這一屬性使得攻擊者可以通過上述方式注入 HTML 標簽。

`有效載荷方案#2`

,//,Space,Tab,LF}