OpenRASP xss算法的几种绕过方法

openrasp默认只能检测反射型XSS，存储型XSS仅IAST商业版支持。对于反射型xss，openrasp也只能检测可控输出点在html标签外的情况，本文的绕过方法是针对这种情况。如果可控输出点在html标签内，如或 内部，openrasp几乎检测不到。

测试环境

【网安学习资料】

windows / tomcat / jdk1.8 / openrasp 1.3.7-beta

测试环境部署参见https://www.anquanke.com/post/id/241107，或者官网文档。

在official.js中xss_userinput算法默认配置为ignore，修改为block来开启拦截。此时点击官方测试用例中下面链接，即可触发openrasp拦截。

openrasp xss算法

openrasp xss算法有2种。算法1是针对PHP环境，此处不考虑。算法2是用户输入匹配算法，根据注释说明，算法原理是”当用户输入长度超过15，匹配上标签正则，且出现在响应里，直接拦截”。

标签正则含义使用regexper网站解析如下

标签正则从整体上来说匹配两种情况，一是请求参数值中有子字符串以 或0x00 - 0x20 字符的字符串。所以下面这些常见的xss测试payload都会拦截。

alert(1)//"

触发拦截

标签正则绕过

【网安学习资料】

整理网上的一些xss 绕过payload，发现下面这些可以顺利绕过标签正则

clickz

z

浏览器直接输入上面那些xss payload会报400响应错误。对payload进行url编码所有字符。

burpsuite repeater中右键”copy url”，复制url到浏览器中访问，点击即可触发弹框。

标签后接单双引号

【网安学习资料】

收集过程中还发现下面这两种xss payload也可以绕过。

clickclick

简单测了下其他标签后接单引号或双引号进行绕过，好像蛮多都行的。

12// 拦截12// 点击弹框12// 点击弹框

12

// 拦截12

// 点击弹框12

// 点击弹框

例如，使用123123 ，url编码后，点击也能弹框。

构造无效标签

【网安学习资料】

这种也可以用于绕过openrasp。看到这种绕过方式，感觉前面的都不香了。

只要构造如下payload即可

click here  // 标签名是字母+数字

验证如下

或者

click here  // 标签名称长度大于12

程序逻辑绕过

【网安学习资料】

还有一种绕过方法，是从程序检测逻辑上进行绕过。

openrasp xss具体检测代码实现在这个文件中agent/java/engine/src/main/java/com/baidu/openrasp/plugin/checker/local/XssChecker.java。下面的一段代码是对”当用户输入长度超过15，匹配上标签正则，且出现在响应里，直接拦截”的具体实现。

但代码中多了一处逻辑。如果请求会传递多个参数，当某个参数值长度大于15，且匹配之前的标签正则] ，如果对应参数值没有在响应中出现时，变量count值会加1。当count值大于10时，openrasp会直接放行。控制程序运行到上面图片中第二个方框中即可产生绕过。

绕过演示

【网安学习资料】

此处为了查看payload内容方便，使用了post请求。如果转换成get请求，并对参数值url编码，效果一样。

原始请求会触发拦截

绕过payload。在input参数前面添加多个input[n]的参数，且参数值为其他xss payload。

转换成get请求，并对payload进行编码。

绕过payload分析

【网安学习资料】

构造的绕过payload有几点要求。一是，虚构的请求参数理论上至少要有11个，如前面input0到input11请求参数。如果没成功，最好在增加几个请求参数。二是，虚构的请求参数名取值有些要求。三是，虚构的请求参数值不能与真实请求参数值相同。

因为这样的话，input0到input11这些请求参数在parameterMap 中会排在input参数前面，见下图。

这样input0到input11这些参数就会优先input请求参数被openrasp检测逻辑处理，从而击中count > exceedLengthCount 的条件进行绕过。

【想学网络安全的同学，上船啦】