Accesso negato dopo l'inserimento del payload XSS riflesso in JavaScript

1

Sto ottenendo una riflessione multipla del mio input su una pagina di siti web, una delle riflessioni del mio input è contenuta nel tag <script> . Il tag script che ho appena menzionato ha src che si riferisce ad un altro dominio, chiamato, visualwebsiteoptimizer.com che quindi fa riferimento al dominio su cui sto testando il mio xss, usando il metodo URL: redirect.

<script src="https://dev.visualwebsiteoptimizer.com/deploy/js_visitor_settings.php?v=1&amp;a=25349&;url=https://www.targetdomain.com/en-us/search-results.aspx/search=helloworld

Se inserisco una normale query di testo l'output è (variando sulla query trovata o non trovata), non appena inserisco il mio payload che è '-alert(1)-' il sito web mi dà 403 accesso negato. Gli input di testo normale sono ok e rendono la pagina, ma l'inserimento di qualsiasi payload mi dà solo un 403.

Qualcuno può dirmi cosa sta succedendo? Sto ricevendo un XSS ma non sta spuntando a causa di qualche WAF?

    
posta j_h_o_m_o 29.01.2018 - 15:10
fonte

1 risposta

2

Molto probabilmente uno dei siti della catena sta eseguendo la protezione XSS non filtrando, ma inserendo nella blacklist qualsiasi cosa ritenuta pericolosa e restituendo automaticamente un 403.

Ad esempio, ho conosciuto uno sviluppatore web una volta che ha eseguito tutta la sua protezione XSS e SQLi tramite un file .htaccess di 10 pagine che controllava la richiesta in arrivo contro ogni vettore XSS o SQLi che aveva visto nel suo decennio di esperienza. alert , script , SELECT , ecc ... se si trattava di una parola chiave in un attacco, era nella lista nera del suo file .htaccess e il server restituiva automaticamente una risposta 400 di accesso negato, indipendentemente dal fatto c'era una vulnerabilità.

È una buona strategia per la mitigazione dell'XSS? Io non la penso così Ma è sicuramente una strategia che la gente usa, ed è molto probabilmente la ragione per cui i tuoi attuali tentativi vengono bloccati. Un WAF è un modo in cui qualcuno potrebbe implementare un tale filtro. Indipendentemente dal modo in cui lo fanno, ovviamente, il risultato finale è lo stesso: sei bloccato finché non trovi un vettore di attacco che la loro lista nera non rileva e filtra.

    
risposta data 29.01.2018 - 15:28
fonte

Leggi altre domande sui tag