今晚又看了一遍PKAV-心上的瘦子写的xss腾讯系列的例子,收获挺大的,其中对宽字节注入有了更深的了解,又查找了一些相关的资料,整理一下,以备以后查阅
参考文档:
http://book.2cto.com/201301/14515.html
http://itindex.net/detail/47408-xss-%E5%AD%A6%E4%B9%A0-xss
http://www.wooyun.org/bugs/wooyun-2010-015969
GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象,比如,下面这个PHP示例,在magic_quotes_gpc=On的情况下,如何触发XSS?
<?php header("Content-Type: text/html;charset=GBK");