一专属SRC - XSS - Bypass长亭Waf

bypass是预言表哥绕的，擦，我这篮子玩xss什么都绕不过

https://www.cnblogs.com/yuyan-sec

这博客我直接倒背如流

主要记录下这次挖掘的过程

先说下 bypass姿势不发，就不发怎么滴。这个不止有waf，自己也有过滤，擦比如过滤了<script>, </script>, onload等

这次的不足主要来自对on事件的不熟悉 操

起因：某src，吊毛挖到了一逻辑，他怀疑有XSS，我就打开了。开干！



其实我觉得这已经算是未授权了，可以删除东西

userId那里 干就完事了，fuzz了一波 啥都没出，放弃！开始慢慢摸，研究了几小时 啥都没有，把onload给我过滤了,对于on事件小白的我..啥也不会了。求助大佬

然后不到20分钟后，那里出了 oh，牛逼

开始学习

正式开始

alert, confirm, prompt

这三个配合on事件一出，长亭跟着出来，长亭Waf牛逼

闭合标签

这里闭合直接用">就把他打断了

后面为我的payload

习惯性的<svg onload=alert(1)>(其实换个on事件就可以触发了，淦，还麻烦了这么多人，主要也不会bypassalert哈哈)

然后不行 去寻求了帮助，最后肯定成功了。要不然我还写鸡毛

预言表哥的那个payload我没得看懂，最后搜了下 然后自己慢慢摸索 懂了。

其实短短的也可以弹，但是我好奇为什么预言表哥的payload范围触发这么广(解释看图2)

在大js里 确实有4处所以这么大，基本上你输入url回车访问 ok触发

大js大家肯定就知道了，毫无疑问闭合前面的反之。但是他过滤为空

经过测试，大写照样过滤，双写绕过弹窗