如何绕过Cloudflare WAF发现反射型XSS漏洞

在一次针对某RDP项目的安全测试中，我发现了一个反射型XSS漏洞。由于该项目不允许公开披露，且不提供金钱或礼品奖励，这次发现将为我赢得名人堂的荣誉！

通常，我会使用subfinder工具结合httpx来枚举子域名。这次，我发现了一个子域名“sub.redacted.com”，访问后看到了一个搜索框。于是我尝试输入测试payload：<script>alert(1)</script>，想看看响应结果。

糟糕！！！Cloudflare拦截了我！

Cloudflare几乎拦截了我尝试的所有标签，除了<svg>标签。我迅速在谷歌上搜索是否存在任何SVG攻击向量可以绕过防护，最终发现了一条推文：

payload：<svg onload=alert%26%230000000040"1')>

成功绕过！！！ sub.redacted.com弹出了“1”的警告框

Cloudflare WAF被绕过了！

就这样，我成功绕过了Cloudflare WAF，发现了反射型XSS漏洞！

祝大家黑客之旅愉快:)FINISHED

CSD0tFqvECLokhw9aBeRqrAef1QRPgjgQdeLIyUmFE3mlkwwPZFYeeSA8AK06DbM9BULUXQwu3PfE8ztweom8jSzDz5AeWzFDQ56eB6yS64=