歡迎光臨
我們一直在努力

XSS-Filter-Bypass-Cheat-Sheet

#Web 滲透與漏洞研究

今天假日輕鬆科普下 XSS-Filter-Bypass-Cheat-Sheet
原文出處:https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet
學會後你就是XSS大師了!

波波觀點:XSS 防禦不能依賴瀏覽器 Filter

XSS filter bypass 類資料適合用來理解瀏覽器防護的限制,但真正的防禦應該回到應用程式本身。XSS 的根本問題是把不可信資料放進 HTML、屬性、JavaScript、URL 或 CSS 等不同上下文時,沒有做正確輸出編碼與權限控制。

防禦重點

  • 依輸出上下文使用正確 escaping,不用同一套函式處理所有位置。
  • 富文本或使用者產生內容應使用白名單清理,不信任前端過濾。
  • 敏感操作搭配 CSRF token、SameSite Cookie 與權限檢查。
  • CSP 可降低影響,但不能取代根因修補。

學習方式

閱讀 bypass cheat sheet 時,建議把技巧分類成編碼差異、解析差異、上下文切換與瀏覽器行為。這樣能幫助你在 code review 時更快辨識資料流,而不是只記住零散 payload。

若要把 XSS 文章整理成實務筆記,可以補上資料來源、輸出位置、可否執行腳本、是否能影響登入使用者,以及修補前後的測試方式。這比單純收藏繞過清單更有價值。

站內延伸閱讀

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » XSS-Filter-Bypass-Cheat-Sheet

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站