声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

博客新域名：https://gugesay.com

不想错过任何消息？设置星标↓ ↓ ↓

前言

国外白帽小哥在 Bugcrowd 上挖掘漏洞时，偶然间发现了一个相当有趣的场景，注入的代码被转换为大写，使得每个 javascript 代码或函数都变得无效，但经过白帽小哥的不断尝试，最终利用Payloads收获4处XSS漏洞奖励：

场景利用

你可以在该网站上注入 javascript，但只能使用大写和特殊字符，如单引号 ‘ 、加/减号 +/- 、括号 []() 、等号 = 、感叹号 ! 和分号 ;等特殊字符。

基于以上特点，不禁想起了 https://jsfuck.com/ 网站，该网站能够有效地绕过大写转换问题。

但执行一个简单的 alert(1) 会有 3425 个字符的长度，这长度似乎有点过于长了。

在通过反复试验和深入挖掘后，白帽小哥成功地制作了一个优化的Payloads，最终实现 XSS 大写绕过，该Payloads只有 235 个字符甚至可以更短，先看效果。

代码如下：

• 优化后的Payloads（适用于Edge/Chrome/Firefox）：

加入星球，完整阅读：

（前50位成员）：99元/年
（前100位成员）：128元/年
（100位+成员）：199元/年

感谢阅读，如果觉得还不错的话，欢迎分享给更多喜爱的朋友～

====正文结束====

原文始发于微信公众号（骨哥说事）：优化 XSS Payloads 绕过大写与长度限制【部分】