相信大家在做***測試的時候都有過這樣的經(jīng)歷，明明一個XSS的漏洞，但是卻有XSS過濾規(guī)則或者WAF保護導(dǎo)致我們不能成功利用，比如我們輸入<scirpt>alert("hi")</script>，會被轉(zhuǎn)換為<script>alert(>xss detected<)</script>，這樣的話我們的XSS就不生效了，下面就教大家?guī)追N簡單的繞過XSS的方法：

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站建設(shè)、做網(wǎng)站、綿陽網(wǎng)絡(luò)推廣、小程序設(shè)計、綿陽網(wǎng)絡(luò)營銷、綿陽企業(yè)策劃、綿陽品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供綿陽建站搭建服務(wù)，24小時服務(wù)熱線：18980820575，官方網(wǎng)址：chinadenli.net

1、繞過 magic_quotes_gpc

magic_quotes_gpc=ON是php中的安全設(shè)置，開啟后會把一些特殊字符進行輪換，比如'(單引號)轉(zhuǎn)換為\'，"(雙引號)轉(zhuǎn)換為\" ，\轉(zhuǎn)換為\\

比如：<script>alert("xss");</script>會轉(zhuǎn)換為<script>alert(\"xss\");</script>,這樣我們的xss就不生效了。

針對開啟了magic_quotes_gpc的網(wǎng)站，我們可以通過javascript中的String.fromCharCode方法來繞過，我們可以把alert("XSS");轉(zhuǎn)換為

String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41)那么我們的XSS語句就變成了

<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41, 59)</script> 

String.fromCharCode()是javascript中的字符串方法，用來把ASCII轉(zhuǎn)換為字符串。

如何轉(zhuǎn)換ASCII碼呢？

我們可以使用 hackbar 來搞定，F(xiàn)irefox的擴展工具https://addons.mozilla.org/en-US/firefox/addon/hackbar/

網(wǎng)頁名稱：繞過XSS過濾規(guī)則
網(wǎng)站鏈接：http://chinadenli.net/article12/jiihdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標簽優(yōu)化、做網(wǎng)站、軟件開發(fā)、靜態(tài)網(wǎng)站、用戶體驗、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)