搜索
查看: 778|回复: 3

xss绕过过滤方法分享

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2013-9-4 12:15:22 来自手机 | 显示全部楼层 |阅读模式
xss-reflective-2.jpg" width="300" height="228" style="border: 0px;" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>
最简单的就是改变大小写
在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则
比如:可以转换为:
其次关闭标签也可以
有时我们需要关闭标签来使我们的XSS生效,如:
“>
使用HEX编码来绕过
我们可以对我们的语句进行hex编码来绕过XSS规则。
比如:可以转换为:
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e
0×004
绕过 magic_quotes_gpc
magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如’(单引号)转换为\’,”(双引号)转换为\” ,\转换为\\
比如:会转换为,这样我们的xss就不生效了。
针对开启了magic_quotes_gpc的网站,我们可以通过javascript中的String.fromCharCode方法来绕过,我们可以把alert(“XSS”);转换为
String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41)那么我们的XSS语句就变成了
String.fromCharCode()是javascript中的字符串方法,用来把ASCII转换为字符串。
最后使用包含即可。
HEX编码在线工具:
http://textmechanic.com/ASCII-Hex-Unicode-Base64-Converter.html
http://www.asciitohex.com/
专业回帖 该用户已被删除
发表于 2013-9-4 12:20:01 | 显示全部楼层
我抢、我抢、我抢沙发~
专业回帖 该用户已被删除
发表于 2013-9-4 15:09:57 | 显示全部楼层
好好 学习了 确实不错
白客丶小俊 该用户已被删除
发表于 2013-10-28 06:14:48 来自手机 | 显示全部楼层
完全看不懂——
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表