小灰博客--小灰IT技术博客 | sky00.com

Tag 文档归类: XSS绕过

  • XSS绕过

    大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。

    首先看一个JS的例子:

    var s = “u003cu003e”;

    alert(s);

    运行这段代码,结果显示如下:

    看到这么熟悉的尖括号,大家会不会有一些兴奋的感觉呢?JS代码 [Read More…]