Web漏洞-XSS跨站之WAF绕过及安全修复

常见WAF绕过思路

标签语法替换，特殊符号干预，/和#，提交方式更改，垃圾数据溢出，加解密算法，结合其他漏洞绕过

自动化工具说明

XSStrike主要特点反射和DOM XSS扫描，多线程爬虫，Context分析，可配置的核心，检测和规避WAF，老旧的JS库扫描，只能payload生成器，手工制作的HTML&JavaScript解析器，强大的fuzzing引擎，盲打XSS支持，高效的工作流，完整的HTTP支持，Bruteforce payloads支持，Payload编码

安全修复方案

开启httponly，输入过滤，输出过滤等

PHP：http://www.zuimoge.com/212.html

JAVA：https://www.cnblogs.com/baixiansheng/p/9001522.html

涉及资源：
https://xssfuzzer.com/fuzzer.html（自动生成）
https://bbs.pediy.com/thread-250852.htm（看雪论坛，文章）
https://github.com/TheKingOfDuck/fuzzDicts（FUZZ字典）
https://github.com/s0md3v/XSStrike（XSS靶场）

案例演示：(48条消息) [小迪安全28天]xss绕过_道长在此的博客-CSDN博客