XSS - Обход фильтров и WAF
Многие исследователи безопасности создали руководства и шпаргалки, чтобы помочь специалистам по безопасности в тестировании проблем межсайтового скриптинга.
В этой статье мы не будем анализировать векторы, указанные в шпаргалке, а скорее определим, какие из них являются возможными сценариями, с которыми мы можем столкнуться.
Мы рассмотрим несколько тактик уклонения
• Обход Blacklisting Filters
• Внедрение кода скрипта
• Обход слабого запрета на использование тегов
• ModSecurity > Правило фильтрующее теги
• Примеры тегов HTML 4 и 5
• Фильтры на основе ключевых слов
• Обход санитизации
подробнее на форуме#waf_bypass #xss