【原创分享】防火墙web防护测试-XSS

    这是一个XSS防护测试，首先来到Cross-Site Scripting 简称为“XSS”（跨站脚本），随便输入一个aaa看这边是什么情况，可以看到输入的aaa直接显示在页面上

一、未启用防火墙

既然输入的内容会显示在页面上，插入xss代码是否也会直接显示呢，这里前端限制了字符数，只好先随便输入再抓包改了

测试存在xss漏洞

二、开启防火墙默认策略

此时开启防火墙，在【策略】-【安全防护策略】中新增【业务防护策略】，选择好区域和对象，策略就选【web应用防护】，使用【默认模板Ⅱ】，动作为拒绝

再次插入xss代码，网页已经无法显示

在【业务安全】中查看风险业务，查看风险业务日志，发现xss攻击已被拦截

然后我顺便测试了一下盗取用户cookie，结果成功了

查看防火墙日志，虽然检测到了xss攻击，但是动作是允许的

三、配置规则匹配后处理动作

这时我们点开查看日志里的详情，查看详细日志，找到规则ID

再去【对象】-【安全防护规则库】-【安全规则库】里搜索，发现这条规则默认是允许的

可能是这种情况容易出现误报吧，我们将规则修改为检测后拦截

再次测试，结果可以拦截

后台没有再盗取到cookie

感谢楼主的分享，这种有干货的帖子很值得表扬！对xss的原理和实现方式都做了讲解，最后结合AF的策略做防护方案，希望楼主再接再厉，给我们呈现更多优质帖子！

最后多了两张图片不知道是什么原因，编辑的时候也看不到，不知道能否帮我删除一下

铭总NB啊

学习一下

还是铭总叼

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创文章奖励榜单：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=103115

很不错的演示，防护很重要

分享的内容还是到位的，但是图片放多了一些。

感谢分享

通过直观的对比更能发现整体的防火墙应用安全能力对于xss的具体实现原理和效果