4.2.7. WAF Bypass

  • 利用<>标记
  • 利用html属性
    • href
    • lowsrc
    • bgsound
    • background
    • value
    • action
    • dynsrc
  • 利用回车拆分关键字
  • 利用编码绕过
    • base64
    • jsfuck
    • String.fromCharCode
    • HTML
    • URL
    • hex
    • unicode
    • utf7
      • +ADw-script+AD4-alert('XSS')+ADsAPA-/script+AD4-
    • utf16
  • 大小写混淆
  • 对标签属性值转码
  • 产生事件
  • css跨站解析
  • 长度限制bypass
    • eval(name)
    • eval(hash)
    • import
    • $.getScript
    • $.get
  • .
    • 使用 绕过IP/域名
    • document['cookie'] 绕过属性取值
  • 过滤引号用 `` ` `` 绕过