XSS0类攻击的ModSecurity防护及其影响

Question

基于DOM(类型0)的XSS不需要向服务器发送恶意代码，因此它们也可以使用静态HTML页面作为攻击载体。以下是虚拟攻击字符串的示例：

http://www.xssed.edu/home.html#<script>alert("XSS")</script> 

我很熟悉，ModSecurity在PDF中提供了对被认为是0类攻击的XSS攻击的保护，但是我的问题是，ModSecurity是否在一般情况下防止这种类型的XSS，以及在您看来，这种漏洞的影响是什么。

Answer 1

每个web应用程序防火墙都使用攻击签名进行工作。类型0 XSS生成与反射XSS相同的签名，因此这可能会被任何WAF停止。类型0 XSS不会因为服务器站点代码漏洞而发生，但在页面加载的过程中，请求显然会到达服务器。唯一可以阻止WAF阻止这种攻击的问题是文件的扩展名，但我相信在您的示例中，这可能会被阻止。

Answer 2

如果你要重写规则的正文，这实际上是可能的。让我们举两个例子，eval和innerHTML接收器，它们容易受到DOM的攻击。我们所要做的就是重写输出的主体。

 SecRule REQUEST_URI "/sitestoprotect/" "chain,phase:4,t:none,t:urlDecode,t:lowercase,t:normalizePath"
    SecRule STREAM_OUTPUT_BODY "@rsub s/innerHTML/textContent/" "chain"
    SecRule STREAM_OUTPUT_BODY "@rsub s/var load/var msg = JSON.parse(e.data);var load"