一次绕过Cloudflare的反射型XSS漏洞挖掘之旅

在一次针对RDP项目的漏洞挖掘中，由于项目不允许公开披露，本文将分享我是如何在其子域名上发现一个反射型XSS漏洞，并成功绕过Cloudflare WAF的经历。

我通常使用subfinder工具结合httpx来枚举子域名。在这次枚举中，我发现了sub.redacted.com这个子域名。访问后，我在页面上找到了一个搜索框。

为了测试是否存在XSS漏洞，我输入了经典的测试payload：<script>alert(1)</script>。

然而，结果让我遇到了阻碍——我被Cloudflare拦截了！几乎所有的HTML标签都被Cloudflare的防火墙(WAF)所屏蔽。

我随即在谷歌上快速搜索，寻找可能的攻击向量来绕过限制，最终发现了一条推文提供了一个基于<svg>标签的攻击载荷。由于<svg>标签是当时少数未被Cloudflare拦截的标签之一，这为我提供了突破口。

我构造了如下的payload进行测试：

<svg onload=alert%26%230000000040"1')>

最终，我成功绕过了Cloudflare的防护，sub.redacted.com的页面上弹出了“1”的弹窗，证明了反射型XSS漏洞的存在。

这就是我如何绕过Cloudflare WAF，发现一个反射型XSS漏洞的经过。FINISHED

CSD0tFqvECLokhw9aBeRqrAef1QRPgjgQdeLIyUmFE3mlkwwPZFYeeSA8AK06DbM9BULUXQwu3PfE8ztweom8jSzDz5AeWzFDQ56eB6yS64=