brutelogic.com.br

Sécurité

Bypassing Whitelists With XSS Payloads in Attributes

Cet article explore les scénarios d'attaque XSS où des filtres de type whitelist, comme ceux utilisés par WordPress (wp_kses), peuvent être contournés. Malgré la robustesse de wp_kses contre l'injection de scripts, l'article montre qu'il est possible d'injecter des éléments HTML, comme les balises <svg> et des payloads, en utilisant des techniques astucieuses et en manipulant les attributs d'éléments HTML. Une démonstration et des exemples de payloads sont fournis, mettant en lumière les vulnérabilités potentielles dans les filtres de sécurité et les applications web.

brutelogic.com.br

xsswp_kseswaf
Sécurité

Tag Blending Obfuscation In Property-Based Payloads

Cet article aborde l'utilisation de techniques d'obfuscation pour contourner les filtres de sécurité et les WAF (Web Application Firewalls) à travers des charges utiles basées sur des propriétés du DOM, telles que 'innerHTML' et 'outerHTML'. Différentes méthodes de découpage et d'encodage sont décrites pour rendre les attaques de type XSS (Cross-Site Scripting) plus difficiles à détecter. L'importance de la technique de blending de balises pour créer des charges utiles complexes mais efficaces est également discutée.

brutelogic.com.br

javascriptxsswaf