常规WAF绕过思路
标签语法替换 (a herf /img src ' 'onerror=' ')
特殊符号干扰 (/ #)
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过
——————
通过拆解语句来确定拦截的东西是什么,从而选择绕过方法(如果不加尖括号可以不被拦截,但地址出错,可以末尾加个#
——————
fuzz网站 可以自动生成一些绕过语句
——————
工具推荐:Xsstrike
——————
安全修复方案
开启httponly
输入输出过滤
常规WAF绕过思路
标签语法替换 (a herf /img src ' 'onerror=' ')
特殊符号干扰 (/ #)
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过
——————
通过拆解语句来确定拦截的东西是什么,从而选择绕过方法(如果不加尖括号可以不被拦截,但地址出错,可以末尾加个#
——————
fuzz网站 可以自动生成一些绕过语句
——————
工具推荐:Xsstrike
——————
安全修复方案
开启httponly
输入输出过滤