相信大家在做***測(cè)試的時(shí)候都有過(guò)這樣的經(jīng)歷，明明一個(gè)XSS的漏洞，但是卻有XSS過(guò)濾規(guī)則或者WAF保護(hù)導(dǎo)致我們不能成功利用，比如我們輸入<scirpt>alert("hi")</script>，會(huì)被轉(zhuǎn)換為<script>alert(>xss detected<)</script>，這樣的話我們的XSS就不生效了，下面就教大家?guī)追N簡(jiǎn)單的繞過(guò)XSS的方法：

創(chuàng)新互聯(lián)專(zhuān)注為客戶(hù)提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站建設(shè)、做網(wǎng)站、綿陽(yáng)網(wǎng)絡(luò)推廣、小程序設(shè)計(jì)、綿陽(yáng)網(wǎng)絡(luò)營(yíng)銷(xiāo)、綿陽(yáng)企業(yè)策劃、綿陽(yáng)品牌公關(guān)、搜索引擎seo、人物專(zhuān)訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供綿陽(yáng)建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18980820575，官方網(wǎng)址：sd-ha.com

1、繞過(guò) magic_quotes_gpc

magic_quotes_gpc=ON是php中的安全設(shè)置，開(kāi)啟后會(huì)把一些特殊字符進(jìn)行輪換，比如'(單引號(hào))轉(zhuǎn)換為\'，"(雙引號(hào))轉(zhuǎn)換為\" ，\轉(zhuǎn)換為\\

比如：<script>alert("xss");</script>會(huì)轉(zhuǎn)換為<script>alert(\"xss\");</script>,這樣我們的xss就不生效了。

針對(duì)開(kāi)啟了magic_quotes_gpc的網(wǎng)站，我們可以通過(guò)javascript中的String.fromCharCode方法來(lái)繞過(guò)，我們可以把a(bǔ)lert("XSS");轉(zhuǎn)換為

String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41)那么我們的XSS語(yǔ)句就變成了

<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41, 59)</script> 

String.fromCharCode()是javascript中的字符串方法，用來(lái)把ASCII轉(zhuǎn)換為字符串。

如何轉(zhuǎn)換ASCII碼呢？

我們可以使用 hackbar 來(lái)搞定，F(xiàn)irefox的擴(kuò)展工具h(yuǎn)ttps://addons.mozilla.org/en-US/firefox/addon/hackbar/

網(wǎng)頁(yè)名稱(chēng)：繞過(guò)XSS過(guò)濾規(guī)則
網(wǎng)站鏈接：http://sd-ha.com/article12/jiihdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、做網(wǎng)站、軟件開(kāi)發(fā)、靜態(tài)網(wǎng)站、用戶(hù)體驗(yàn)、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)