🕷 Shazzer cheat sheet: XSS полиглот + набор мутаций для обхода WAF Одна из проблем техник байпаса WAF — они быстро устаревают. То, что работало вчера, сегодня уже режется сигнатурами. Gareth Heyes из PortSwigger подошёл к этому системно: поддерживает актуальную шпаргалку на базе Shazzer, которая помогает тестировать XSS-фильтры через мутации и нестандартные конструкции. Что внутри полезного: ➡️ XSS-полиглоты для первичного теста фильтрации ➡️ Различные вариации whitespace ➡️ Ломанные кавычки и нестандартное закрытие атрибутов ➡️ Неочевидные символы в protocol handler ➡️ Нестандартные кодировки и трансформации ➡️ Подход для веб-фаззинга, а не просто список пэйлоадов Главная идея — не «волшебный пэйлоад», а системная генерация мутаций, которые помогают найти слабое место. Для тестирования кодировок и трансформаций удобно использовать Hackvertor — ускоряет ресёрч и помогает автоматизировать вариации.