14、XSS跨站脚本攻击漏洞之绕过限制

输入可能被转换为

绕过方法:

1、绕过magic_quotes_gpc

magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如‘转换为\',“为\“,\为\\

为 

这样XSS就失效了,可以使用JavaScript的String.fromCharCode方法来绕过。

可以利用hackbar中的xss选型里的String.fromCharCode功能。

2、HEX编码

https://www.107000.com/T-Hex  在线工具

hackbar里也可以进行转换。

3、改变大小写

4、关闭标签

关闭前面的标签,>

 

你可能感兴趣的:(#,web漏洞知识,封闭的安全圈)