一个nginx waf的绕过点-重写waf发现


20210204更新 #之后的数据本来就不会传出客户端 对WAF无用

今天重构waf时,对nginx的一些数据进行了仔细查看。发现了一个问题,ngx.var.uri包含的数据只有/index.html?a=123&b=345而不包含#之后的数据,这里放在传统的web开发中没有任何问题,但是放在node.js构建的前端应用越来越多的现在,不检查#之后的输入会造成安全问题。
举例:
有如下网页:采用vue开发,使用vue-router,路由hash模式。
a.com/h5#/pages/index/index?content=张三
假设开发者使用vuerouter的this.$route.params.content方式直接拿到content就进行v-html页面展示,那就是一个xss。

声明:物博网|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 一个nginx waf的绕过点-重写waf发现


闻声而动