XSS跨站之WAF绕过
作者:互联网
什么是httponly
如果你在cookie中设置了httponly熟悉,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
当目标设置了httponly,读取不了用户的cookie时,如果用户习惯点击浏览器中的保存密码,也可以通过xss读取浏览器中用户保存的账号密码
常规WAF绕过思路
标签语法替换
特殊符号干扰
提交方式更改
垃圾数据溢出
加密解密算法
结合其他漏洞绕过
工具XSStrike
需要安装python3环境
通过工具进行测试,可以触发XSS的语句
–fuzzer
进行fuzz测试,测试哪些语句被waf过滤了,再根据自己的需要去构造语句
标签:语句,XSS,跨站,读取,WAF,cookie,绕过,httponly 来源: https://blog.csdn.net/xhscxj/article/details/122658889