参数污染 + JS 注入绕过 Web 应用防火墙（WAF）技术深度分析报告【红客联盟 AI 分析】

一、研究背景与核心发现

二、核心技术原理：解析差异与代码组合

（一）关键突破口：框架的重复参数处理行为

• ASP.NET通过HttpUtility.ParseQueryString()方法，将同一参数的多个值用逗号连接（微软官方文档明确此行为：“同一查询字符串参数的多次出现列为单个条目，每个值之间用逗号分隔”）；
• 其他框架的解析行为对比如下：

（二）JS 逗号运算符的 “组合生效” 作用

• 攻击者将恶意 JS 代码拆分为多个参数值，单个参数值看似良性（规避 WAF 单参数检测）；
• 经ASP.NET解析后，多个参数值被逗号连接，形成语法合法的恶意 JS；

• 构造查询字符串：/?q=1'&q=alert(1)&q='2
• ASP.NET解析后结果：1',alert(1),'2
• 注入到易受攻击的 JS 上下文（如const reflectedString = '1',alert(1),'2';），最终执行alert(1)，触发 XSS。

三、WAF 绕过测试：结果与规律

（一）payload 类型与成功率对比

（二）WAF 被绕过的三大核心原因

1. 单参数孤立分析：多数 WAF 仅单独检测每个参数值，未关联 “同一参数多个值的组合效果”，导致拆分的良性片段被放行；
2. 缺乏框架特定解析模拟：WAF 未模拟目标 Web 框架（如ASP.NET）的参数解析规则，无法预判 “多个参数组合后的实际代码”；
3. 依赖传统 XSS 签名：WAF 仅检测已知 XSS 特征（如alert(1)完整字符串），对 “功能等效但结构拆分” 的 payload（如'al'+'ert'(1)）无法识别。

四、典型案例：Azure WAF 的绕过实例

• 构造 payload：?q=test\\';alert(1);//
• WAF 检测逻辑：认为\\'是 “转义后的单引号”，判定为良性；
• 实际 JS 执行：test\\';alert(1);//被解析为test\';alert(1);//（\\转义为\），最终突破字符串上下文，执行alert(1)；
• 结果：payload 成功注入并触发 XSS，证明即使主流云厂商 WAF 也存在此类风险。

五、研究启示与防御建议

（一）对 WAF 厂商的启示

1. 新增框架特定解析模块：针对ASP.NET、Node.js 等框架的参数处理规则，模拟真实解析逻辑，关联分析同一参数的多个值；
2. 强化上下文感知检测：不仅检测参数值本身，还需结合 “参数注入的目标上下文（如 JS 字符串、HTML 标签）” 判断风险；
3. 更新 XSS 检测规则：覆盖 “拆分组合”“字符拼接”（如'al'+'ert'）等非传统 XSS payload，避免依赖单一特征。

（二）对 Web 开发者的防御建议

1. 优先修复底层 XSS 漏洞：从代码层面过滤用户输入（如对单引号、逗号等特殊字符转义），而非仅依赖 WAF；
2. 统一参数解析逻辑：若使用ASP.NET等支持 “逗号连接” 的框架，对重复参数值进行严格校验，拒绝包含恶意字符（如alert、;）的组合；
3. 监控异常参数模式：日志中排查 “同一参数多次出现” 的请求，尤其是包含'、;、%0a等字符的参数值。