XSS跨站之WAF绕过

XSS跨站之WAF绕过什么是httponly
如果你在cookie中设置了httponly熟悉,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击

当目标设置了httponly,读取不了用户的cookie时,如果用户习惯点击浏览器中的保存密码,也可以通过xss读取浏览器中用户保存的账号密码

常规WAF绕过思路
标签语法替换
特殊符号干扰
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过

工具XSStrike
需要安装python3环境
通过工具进行测试,可以触发XSS的语句
XSS跨站之WAF绕过

–fuzzer
XSS跨站之WAF绕过进行fuzz测试,测试哪些语句被waf过滤了,再根据自己的需要去构造语句

上一篇:python进阶五_类(一)


下一篇:跨站脚本攻击XSS(最全最细致的靶场实战)