欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

探寻如何绕过WAF的XSS检测机制

来源:本站整理 作者:佚名 时间:2019-08-29 TAG: 我要投稿

一、前言
本文提出了一种明确定义的方法,即通过探测假设出检测恶意字符串的规则并编写Payload,来绕过跨站脚本攻击(XSS)的安全防范机制。我们提出的方法共包括三个阶段:确定Payload结构、探测以及混淆。
确定指定上下文的各种Payload结构,为我们提供了最佳的测试思路。探测的下一个阶段,就是针对目标的安全机制测试各种字符串,并分析目标的响应,从而根据分析结果做出假设。
最后,如果需要,可以对Payload进行模糊处理和其他调整。本文假设各位读者已经掌握XSS、HTML和JavaScript的相关知识。在整篇文章中,使用{string}来表示Payload方案的组成部分,使用{?string}表示可选的组成部分。主要字符(Primary Character)是指必须包含在Payload中的字符。建议在使用URL不安全字符(例如:+和&)之前,对其先进行URL编码。在探测时,应该使用无害的字符串,而不是{javascript}。
二、简介
跨站脚本漏洞(XSS)是最常见的Web应用程序漏洞之一。可以通过清理用户输入、实现基于上下文的转义后输出、正确使用文档对象模型(DOM)、实施适当的跨源资源共享(CORS)策略和其他安全实践,来实现对该类型漏洞的防范。尽管这些预防措施已经成为公开的知识,但很多组织还会使用Web应用程序防火墙(WAF)或自定义过滤器,作为防范XSS的双保险,以保护Web应用程序免受人为漏洞或新发现的攻击媒介所引入的漏洞的利用。尽管WAF的各大厂商仍在尝试引入机器学习,但正则表达式仍然是目前最常用的检测恶意字符串的方法。在本文中,我们将探讨一些与常见WAF所使用正则表达式不匹配的XSS Payload构造方法。
三、HTML上下文
当用户输入反射在网页的HTML代码中时,我们称其在HTML上下文中。HTML上下文可以进一步根据反射的位置,划分成子上下文。
· 内部标签:
· 外部标签:You entered $input
3.1 外部标签
针对这一上下文,主要的字符就是
·
·
· x
·
·
·
如果安全机制不允许此类探测机制,那么就不能实现绕过。由于误报率较高,因此不应提倡在WAF上采用这种限制性规则。
如果上述任何探测未被阻止,那么可以使用多种Payload方案来构造Payload。
3.1.1 Payload方案1
,//,Space,Tab,LF}
在找到{tag}的适当值后,下一步是猜测正则表达式用于匹配标签和Event Handler之间的过滤器。可以使用下面的探测方式:
·
·
·
·
·
·  – 如果失败,正则表达式为[\s\n\r+]+
·
该组成部分(即Event Handler)是Payload中最关键的部分之一。它通常与on\w+这样的正则表达式,或on(load|click|error|show)这样的黑名单相匹配。第一个正则表达式是非常严格的,无法被绕过。但第二种黑名单类型模式通常可以借助比较不常用的Event Handler实现绕过,这些Event Handler可能不在黑名单之中。我们可以通过两个简单的方法来识别所使用的方法类型:
·
·
如果正则表达式是on\w+,那么就无法绕过,因为所有Event Handler都以on开头。面对这种情况,我们应该继续下一个Payload方案。如果正则表达式遵循黑名单的方法,则需要查找未列入黑名单的Event Handler。如果所有Event Handler都被列入黑名单之中,则应继续执行下一个Payload方案。
根据我对WAF的研究经验,我发现下列几个Event Handler通常会在黑名单中缺席:
onauxclick
ondblclick
oncontextmenu
onmouseleave
ontouchcancel
与=相关的过滤器测试过程,类似于前面所讨论的过程,并且仅当安全机制阻止
下一个组成部分是要执行的JavaScript代码。这是Payload中的活动部分,但不需要对用于匹配它的正则表达式进行假设,因为JavaScript代码可以是任意代码,因此无法预先定义出它的固定模式并进行匹配。
此时,Payload的所有组成部分都已经完成,只需要关闭Payload。这可以通过以下方式来完成:
应该注意的是,HTML规范中允许这样的形式,这意味着,只要有一个HTML标签,例如“”就是有效的。HTML标签的这一属性,允许攻击者可以通过上述方式实现对HTML标签的注入。
3.1.2 Payload方案2
,//,Space,Tab,LF}
为了测试过滤器与结束字符串,我们采用了与上一种方案类似的方法。必须注意的是,?可以在URL的末尾使用,来替代结束标签。当读取到?字符时,都会将其视为URL的一部分,直至遇到下一个>。如果使用标签,很可能会被大多数安全规则检测到。
使用标签的Payload,可以使用类似的Payload方案来制作:
,//,Space,Tab,LF}
3.1.3 Payload方案3
这种Payload方案有两种形式,分别是原型和经过混淆后的变体。
原型通常与模式相匹配,例如:href[\s]{0,}=[\s]{0,}javascript:,其结构如下:
,//,Space,Tab,LF}
经过混淆后的变体具有以下结构:
,//,Space,Tab,LF}
这两个变体之间的显著差异是{special}组成部分以及{quote}。{special}指的是字符串JavaScript的混淆后版本,可以使用换行符和水平制表符对其进行混淆,如下所示:
j%0aAv%0dasCr%09ipt:
J%0aa%0av%0aa%0as%0ac%0ar%0ai%0ap%0aT%0a:
J%0aa%0dv%09a%0as%0dc%09r%0ai%0dp%09T%0d%0a:
在某些情况下,数字字符编码也可用于逃避检测。可以使用十进制或十六进制。
Javascript:
javascript:
显然,如果有需要,这两种混淆技术可以一起使用。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载