作者:0x_Jin XSS字符编码神器,集合了html,js,base6,utf-7,utf-8JP等编码!随后又添加HttpOnly Cookie泄露扫描以及第三方资源探测等等!如果机器配置比较低可能会有点卡顿。在后续版本会解决此问题的
本插件已更新 20141011
由0x_Jin授权于Uncia代发布 XSS字符编码神器~
———————————————————
V2.5
修复了某些细节上的BUG
V2.4 更新说明
1.增加了设置选项,可手动选择发现受保护的Cookie泄漏后的提醒方式
V2.3 更新说明
新功能:
1.新增第三方资源探测,引用的是Sogili在WooYun Zone所提出的代码!
2.新增了Console下显示当前网站Cookie是否做了HttpOnly保护!
3.新增了扫描受HttpOnly保护的Cookie是否泄漏 引用了EtherDream在Drops所发表文章的方法!
4.更改了一些样式比之前的版本在不同的分辨率下的样式更加美观。
此插件后续版本不再添加与编码之外的功能,Mxxxxxxxx:我喜欢专注
谢谢Uncia帮我在Chrome商店上架此插件
使用文档:
1.如何使用本插件:安装完成后打开chrome浏览器的控制台(F12),即可看到XSS Encode!点击就可以看到主界面了!
2.编码:左侧的文本域放入要处理的内容,点击编码旁边的下拉框选中你想使用的编码函数然后点击编码的按钮即可,便会在右侧的文本域中输出处理后的内容。
3.解码:在左侧的文本域放入要处理的编码,点击解码旁边的下拉框选中你想使用的解码函数然后再点击解码即可,便会在右侧的文本域中输出处理后的内容。
4.Hex编码常规变异的功能:会给编码前面的数字多加7个0,因为IE对进制编码加0,只识别到八个0,多了的话就认为这不是个有效的值了!也有很多程序过滤规则也是这样写的!他们会把你变异了的值给解析回来,然后再判断是不是危险字符!
适用场景:当进制编码被解析回来,再次过滤了的时候,比如 < 在过滤程序中被还原回来再次过滤了!但是<没有在过滤程序中被还原回来,但是在页面中被浏览器被解析还原了,那么就可以用进制编码的常规变异!
5.Hex编码非常规变异功能:会给编码的数字前面多加10个0!原因同上!
适用场景:当进制编码被解析回来,再次过滤了的时候,比如<或者<都被还原回来,再次过滤的话,那么便可以用非常规变异!IE识别到8个0 可是chrome能识别到更多的0!有的过滤机制都是根据IE的8个0来写的!所以更多的0 也是一种绕过方式!
html编码去分号:分号是可以去除的,去除后能为你节省更多的字符。(此选项可配合其他选项一起使用 比如进行html编码时 勾选常规变异 + 去html编码分号)
6.载荷URL编码:在url中都有特殊的含义 我们很多时候都是把他们当做一个html实体编码表示的方式而已!可是浏览器不会这样认为,& 会被认为是参数的分隔符,#号呢,就是location.hash获取的值以及什么的,他是不会发往服务器的。如果是反射型XSS或者之类的话,那么勾选吧!
7.UTF-7编码:这个就不解释了,之前出了蛮多UTF-7的XSS看一下你们就明白了!
8.UTF-8Jp:这个编码也就是大家所熟知的卖萌字符,优点是能绕过大部分黑名单过滤,缺点是字符数太多!
9.本插件发现httponly Cookie泄漏后默认的提醒方式是Alert 如果在正常上网中经常alert的话那么可以在插件中点击更改设置 选择Close Alert即可
注:中文翻译来自GOOGLE
作者:0x_Jin XSS字符编码神器,集合了html,js,base6,utf-7,utf-8JP等编码!随后又添加HttpOnly Cookie泄露扫描以及第三方资源探测等等!如果机器配置比较低可能会有点卡顿。在后续版本会解决此问题的
本插件已更新 20141011
由0x_Jin授权于Uncia代发布 XSS字符编码神器~
———————————————————
V2.5
修复了某些细节上的BUG
V2.4 更新说明
1.增加了设置选项,可手动选择发现受保护的Cookie泄漏后的提醒方式
V2.3 更新说明
新功能:
1.新增第三方资源探测,引用的是Sogili在WooYun Zone所提出的代码!
2.新增了Console下显示当前网站Cookie是否做了HttpOnly保护!
3.新增了扫描受HttpOnly保护的Cookie是否泄漏 引用了EtherDream在Drops所发表文章的方法!
4.更改了一些样式比之前的版本在不同的分辨率下的样式更加美观。
此插件后续版本不再添加与编码之外的功能,Mxxxxxxxx:我喜欢专注
谢谢Uncia帮我在Chrome商店上架此插件
使用文档:
1.如何使用本插件:安装完成后打开chrome浏览器的控制台(F12),即可看到XSS Encode!点击就可以看到主界面了!
2.编码:左侧的文本域放入要处理的内容,点击编码旁边的下拉框选中你想使用的编码函数然后点击编码的按钮即可,便会在右侧的文本域中输出处理后的内容。
3.解码:在左侧的文本域放入要处理的编码,点击解码旁边的下拉框选中你想使用的解码函数然后再点击解码即可,便会在右侧的文本域中输出处理后的内容。
4.Hex编码常规变异的功能:会给编码前面的数字多加7个0,因为IE对进制编码加0,只识别到八个0,多了的话就认为这不是个有效的值了!也有很多程序过滤规则也是这样写的!他们会把你变异了的值给解析回来,然后再判断是不是危险字符!
适用场景:当进制编码被解析回来,再次过滤了的时候,比如 < 在过滤程序中被还原回来再次过滤了!但是<没有在过滤程序中被还原回来,但是在页面中被浏览器被解析还原了,那么就可以用进制编码的常规变异!
5.Hex编码非常规变异功能:会给编码的数字前面多加10个0!原因同上!
适用场景:当进制编码被解析回来,再次过滤了的时候,比如<或者<都被还原回来,再次过滤的话,那么便可以用非常规变异!IE识别到8个0 可是chrome能识别到更多的0!有的过滤机制都是根据IE的8个0来写的!所以更多的0 也是一种绕过方式!
html编码去分号:分号是可以去除的,去除后能为你节省更多的字符。(此选项可配合其他选项一起使用 比如进行html编码时 勾选常规变异 + 去html编码分号)
6.载荷URL编码:在url中都有特殊的含义 我们很多时候都是把他们当做一个html实体编码表示的方式而已!可是浏览器不会这样认为,& 会被认为是参数的分隔符,#号呢,就是location.hash获取的值以及什么的,他是不会发往服务器的。如果是反射型XSS或者之类的话,那么勾选吧!
7.UTF-7编码:这个就不解释了,之前出了蛮多UTF-7的XSS看一下你们就明白了!
8.UTF-8Jp:这个编码也就是大家所熟知的卖萌字符,优点是能绕过大部分黑名单过滤,缺点是字符数太多!
9.本插件发现httponly Cookie泄漏后默认的提醒方式是Alert 如果在正常上网中经常alert的话那么可以在插件中点击更改设置 选择Close Alert即可
XSS字符编码神器插件LOGO图片