基于DOM(类型0)XSS不需要向服务器发送恶意代码,因此他们也可以使用静态HTML页面作为攻击媒介。这里的虚拟攻击字符串的示例如下:
http://www.xssed.edu/home.html#<script>alert("XSS")</script>
我很熟悉ModSecurity在被认为是0型攻击的PDF中提供针对XSS攻击的保护,但我的问题是,如果ModSecurity一般会阻止这种类型的XSS,并且您认为这样的漏洞有什么影响
答案 0 :(得分:0)
每个Web应用程序防火墙都在使用攻击签名。 Type-0 XSS生成与反射XSS相同的签名,因此任何WAF都可能会停止此操作。由于服务器站点代码漏洞,不会发生类型0 XSS,但请求显然在页面加载过程中到达服务器。 唯一可能阻止WAF阻止此类攻击的问题是文件的扩展,但我相信在您的示例中,这可能会被停止。
答案 1 :(得分:0)
如果您要重写规则的主体,实际上是可能的。 让我们举两个例子,eval 和 innerHTML sink,它们容易受到 DOM XSS 的攻击。我们所要做的就是重写输出的主体。
SecRule REQUEST_URI "/sitestoprotect/" "chain,phase:4,t:none,t:urlDecode,t:lowercase,t:normalizePath"
SecRule STREAM_OUTPUT_BODY "@rsub s/innerHTML/textContent/" "chain"
SecRule STREAM_OUTPUT_BODY "@rsub s/var load/var msg = JSON.parse(e.data);var load"