常见编码
一、ASCII码
ASCII (American Standard Code for Information Interchange,美国信息交换标准代码)
计算机内部,所有信息最终都是一个二进制值。每一个二进制位(bit)有0和1两种状态,因此八个二进制位就可以组合出256种状态,这被称为一个字节(byte)。也就是说,一个字节一共可以用来表示256种不同的状态,每一个状态对应一个符号,就是256个符号,从00000000到11111111。
上个世纪60年代,美国制定了一套字符编码,对英语字符与二进制位之间的关系,做了统一规定。这被称为 ASCII 码,一直沿用至今。
ASCII码对照 👉 点此进入
二、URL编码
URL:
URL - 统一资源定位器(Uniform Resource Locator)
- Web 浏览器使用 URL 从 Web 服务器请求页面。
- URL 只能使用 ASCII 字符集 通过因特网进行发送。
- 由于 URL 通常包含 ASCII 集之外的字符,因此必须将 URL 转换为有效的 ASCII 格式。
URL编码:
- 将字符转换为可通过因特网传输的格式。
- 使用后跟十六进制数字的 “%” 替代不安全的 ASCII 字符。
- URL 不能包含空格。URL 编码通常使用加号(+)或 %20 替代空格
三、Unicode编码
统一码(Unicode),也叫万国码、单一码,由统一码联盟开发,是计算机科学领域里的一项业界标准,包括字符集、编码方案等。
Unicode 源于一个很简单的想法:将全世界所有的字符包含在一个集合里,计算机只要支持这一个字符集,就能显示所有的字符,再也不会有乱码了。
它从 0 开始,为每个符号指定一个编号,这叫做”码点”(code point)。比如,码点 0 的符号就是 null(表示所有二进制位都是 0)。
四、HTML实体编码
为什么有HTML实体编码
在 HTML 中不能使用小于号(<)和大于号(>),这是因为浏览器会误认为它们是标签。如果希望正确地显示预留字符,我们必须在 HTML 源代码中使用字符实体(character entities)。
- HTML 实体是一段以连字号 (&)开头、以分号 (;)结尾的文本 (字符串),形如 j
- 实体常常用于显示保留字符 (这些字符会被解析为 HTML 代码)和不可见的字符 (如“不换行空格”)
- 应用场景:在前端,一般为了避免 XSS 攻击,会将 <> 编码为 < 与 >,这些就是 HTML 实体编码
- 使用须知:在 HTML 转义时,仅仅只需要对六个字符进行编码:&、<、>、"、’ 和 `。 我们可以使用 he 库进行编码及转义
👉 在线Html实体编码解码 (config.net.cn)")
结合编码理解浏览器解析机制
①
<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29">aaa</a>
分析:a标签中的href属性放的是url,然后现在里面全是url编码,URL模块解码出来就是javascript:alert(1),因为是url解码后才能看到javascript所以最后没识别到这个协议,即alert没被执行
结果:执行失败
②
<a href="javascript:%61%6c%65%72%74%28%32%29">
分析:先通过HTML解码得到javascript:%61%6c%65%72%74%28%32%29,再丢给URL模块,URL模块识别到Javascript协议,把:后边的内容解码后丢给js的模块去处理
结果:执行成功
③
<a href="javascript%3aalert(3)"></a>
分析:和①类似,URL识别到完整的javascript:后才能识别出这个协议
结果:执行失败
④
<div><img src=x onerror=alert(4)></div>
分析:&.#60(打了个.防止csdn给我解码了)是< ,&.#62是> HTML实体编码把这俩转化成尖括号后token就被消耗掉了所以并不会进入到标签开始状态,自然里面的内容也失效了
结果:执行失败
⑤
<textarea><script>alert(5)</script></textarea>
分析:这个看起来和④差不多,但其实与
⑥
<textarea><script>alert(6)</script></textarea>
分析:这里与⑤做对照,就算<>不用html实体编码,最后也不会识别到
⑦
<button onclick="confirm('7');">Button</button>
分析:html实体解码后得到’7’然后有js的函数confirm就会丢给js模块去处理
结果:执行成功
⑧
<button onclick="confirm('8\u0027);">Button</button>
分析:confirm函数里面用了unicode编码,没别的编码了,所以会解析过后会丢给js模块去处理,但是unicode只能用来表示字符串和标识符,所以最后右边的’没有解析成功
结果:执行失败
⑨
<script>alert(9);</script>
分析:html实体解析完后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-A9Z7LGiC-1712878346519)]
1101
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
