【安全】web中的常见编码&amp；浅析浏览器解析机制_web网站码源(2)

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

②

<a href="&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:%61%6c%65%72%74%28%32%29">

分析：先通过HTML解码得到javascript:%61%6c%65%72%74%28%32%29，再丢给URL模块，URL模块识别到Javascript协议，把：后边的内容解码后丢给js的模块去处理
结果：执行成功

---

③

<a href="javascript%3aalert(3)"></a>

分析：和①类似，URL识别到完整的javascript:后才能识别出这个协议
结果：执行失败

---

④

<div>&#60;img src=x onerror=alert(4)&#62;</div>

分析：&.#60(打了个.防止csdn给我解码了)是< ，&.#62是> HTML实体编码把这俩转化成尖括号后token就被消耗掉了所以并不会进入到标签开始状态，自然里面的内容也失效了
结果：执行失败

---

⑤

<textarea>&#60;script&#62;alert(5)&#60;/script&#62;</textarea>

分析：这个看起来和④差不多，但其实与

---

⑥

<textarea><script>alert(6)</script></textarea>

分析：这里与⑤做对照，就算<>不用html实体编码，最后也不会识别到

---

⑦

<button onclick="confirm('7&#39;);">Button</button>

分析：html实体解码后得到’7’然后有js的函数confirm就会丢给js模块去处理
结果：执行成功

---

⑧

<button onclick="confirm('8\u0027);">Button</button>

分析：confirm函数里面用了unicode编码，没别的编码了，所以会解析过后会丢给js模块去处理，但是unicode只能用来表示字符串和标识符，所以最后右边的’没有解析成功
结果：执行失败

---

⑨

<script>&#97;&#108;&#101;&#114;&#116&#40;&#57;&#41;&#59</script>

分析：html实体解析完后

---

⑩

<script>\u0061\u006c\u0065\u0072\u0074(10);</script>

分析：

---

⑪

<script>\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0031\u0029</script>

分析：类似于⑧，虽然看起来能解析出个alert(10)但是()不在标识符范围内，js解析执行失败
结果：执行失败

---

⑫

<script>\u0061\u006c\u0065\u0072\u0074(\u0031\u0032)</script>

分析：与⑪做比较，js模块解析出来alert(12)看起来没什么问题，但是这里12是两个unicode编码，意思就是字符串，字符串是必须要’'才能执行的
结果：执行失败

---

⑬

<script>alert('14\u000a')</script>

分析：\u000a解码后就是换行，解码出来直接执行
结果：执行成功

---

⑭

<a href="&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;&#x25;&#x35;&#x63;&#x25;&#x37;&#x35;&#x25;&#x33;&#x30;&#x25;&#x33;&#x30;&#x25;&#x33;&#x36;&#x25;&#x33;&#x31;&#x25;&#x35;&#x63;&#x25;&#x37;&#x35;&#x25;&#x33;&#x30;&#x25;&#x33;&#x30;&#x25;&#x33;&#x36;&#x25;&#x36;&#x33;&#x25;&#x35;&#x63;&#x25;&#x37;&#x35;&#x25;&#x33;&#x30;&#x25;&#x33;&#x30;&#x25;&#x33;&#x36;&#x25;&#x33;&#x35;&#x25;&#x35;&#x63;&#x25;&#x37;&#x35;&#x25;&#x33;&#x30;&#x25;&#x33;&#x30;&#x25;&#x33;&#x37;&#x25;&#x33;&#x32;&#x25;&#x35;&#x63;&#x25;&#x37;&#x35;&#x25;&#x33;&#x30;&#x25;&#x33;&#x30;&#x25;&#x33;&#x37;&#x25;&#x33;&#x34;&#x28;&#x31;&#x35;&#x29;"></a>

分析：先进行html解码得到👇

再进行URL解码得到👇
javascript:\u0061\u006c\u0065\u0072\u0074(15)
因为被URL模块识别到js协议了，所以丢给js模块解码
javascript:alert(15)
结果：执行成功

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！