绕过 XSS 检测机制 - 网安 - 专业的网络安全产业、社区、知识平台

介绍

跨站点脚本 (XSS) 是最常见的 Web 应用程序漏洞之一。它可以通过清理用户输入、基于上下文转义输出、正确使用文档对象模型 (DOM) 接收器和源、执行正确的跨源资源共享 (CORS) 策略和其他安全实践来完全防止。尽管这些预防性技术是公共知识，但 Web 应用程序防火墙 (WAF) 或自定义过滤器被广泛用于添加另一层安全性，以保护 Web 应用程序免受人为错误或新发现的攻击向量引入的缺陷的利用。虽然 WAF 供应商仍在尝试机器学习，但正则表达式仍然是检测恶意字符串的最广泛使用的方法。

HTML 上下文

当用户输入反映在网页的 HTML 代码中时，我们就说它在 HTML 上下文中。HTML 上下文可以根据反射的位置进一步划分为子上下文。

内部标签-
外部标签-You entered $input

外部标签

此上下文的主要字符<负责启动 HTML 标记。根据 HTML 规范，标签名称必须以字母开头。有了这些信息，可以使用以下探针来确定用于匹配标签名称的正则表达式：

- 如果通过，则没有标签检查到位
- 如果失败，<[a-z]+
x- 如果通过，^<[a-z]+
- 如果失败，<[a-zA-Z]+
- 如果失败，<[a-zA-Z0-9]+
- 如果失败，<.+

如果安全机制不允许这些探测，则无法绕过。由于误报率高，应劝阻此类限制性规则。

如果上述任何探测未阻塞，则可以使用许多有效负载方案来制作有效负载。

`有效载荷方案#1`

<{tag}{filler}{event_handler}{?filler}={?filler}{javascript}{?filler}{>,//,Space,Tab,LF}

一旦{tag}找到合适的值，下一步就是猜测用于匹配标记和事件处理程序之间的填充符的正则表达式。可以通过以下探针执行此操作：

- 如果失败，{space}
- 如果失败，[\s]
- 如果失败，\s+
- 如果失败，[\s/]+
- 如果失败，[\s]+
- 如果失败，[\s\r+]+
- 如果失败，.*+

这个组件，即事件处理程序是有效负载结构中最关键的部分之一。它通常与 kind 的一般正则表达式on\w+或黑名单（例如on(load|click|error|show). 第一个正则表达式的限制非常严格，无法绕过，而黑名单类型模式通常使用不太知名的事件处理程序绕过，这些事件处理程序可能不存在于黑名单中。使用的方法类型可以通过两个简单的检查来识别

- 如果失败，on\w+. 如果通过，on(load|click|error|show)
- 如果通过，则没有检查正则表达式的事件处理程序到位

如果结果是正则表达式on\w+，则不能绕过它，因为所有事件处理程序都以 . 开头on。在这种情况下，您应该继续下一个有效负载方案。如果正则表达式遵循黑名单方法，则需要查找未列入黑名单的事件处理程序。如果所有事件处理程序都被列入黑名单，您应该继续下一个有效负载方案。

在我使用 WAF 的经验中，我发现黑名单中缺少的一些事件处理程序是：

onauxclick
ondblclick
oncontextmenu
onmouseleave
ontouchcancel

对相邻的填充物的测试与前面讨论的填充物相似，并且只有在被安全机制阻止=时才应进行测试。

下一个组件是要执行的 JavaScript 代码。它是有效负载的活动部分，但不需要对用于匹配它的正则表达式进行假设，因为 JavaScript 代码是任意的，因此无法与预定义的模式匹配。

此时将payload的所有组件放在一起，只需要关闭payload即可，可以通过以下方式完成

{space}

应该注意的是，HTML 规范允许表明诸如有效的 HTML 标记。HTML 标签的这一属性使得攻击者可以通过上述方式注入 HTML 标签。

`有效载荷方案#2`

,//,Space,Tab,LF}