过滤了符号 和 / 该如何绕过进行 XSS 攻击?

过滤了符号 和 / 该如何绕过进行 XSS 攻击?

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-01-25 15:43

传入

输出

求大牛支招。

[原文地址]

各种吐槽：

1#

乌云 | 2014-01-25 15:45

我就做第一个关注你的把！

2#

dtc (路过)‮(油酱) | 2014-01-25 15:51

3#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-01-25 15:54

@dtc 感谢。但我发现连 也过滤了..

4#

/fd (/proc) ‫() | 2014-01-25 15:55

html entity

5#

dtc (路过)‮(油酱) | 2014-01-25 15:56

顺便看看你那站有没有加载jq...

6#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-01-25 16:02

@dtc 用String.fromCharCode的话会变成这样:

有加载jq。

7#

dtc (路过)‮(油酱) | 2014-01-25 16:04

@超威蓝猫 =_=那就把var去掉算了。。应该不会有大问题。。

8#

dtc (路过)‮(油酱) | 2014-01-25 16:04

@超威蓝猫 单引号都被干掉了=_=..把单引号换成"试试...

9#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-01-25 16:11

@dtc 虽然没有成功但还是谢谢你:]

10#

dtc (路过)‮(油酱) | 2014-01-25 16:16

囧= =

11#感谢(1)

0x_Jin (世上人多心不齐) | 2014-01-25 16:17

@超威蓝猫 实体编码一下就好了

12#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-01-25 16:22

@0x_Jin 我的天..成功了 感谢一个

13#

RootUser | 2014-01-25 16:37

mark

14#

咖啡 (乌云在我们心里搁下一块阴影我聆听沉寂已久的心情) | 2014-01-25 18:56

学习了

15#

wefgod (求大牛指点) | 2014-01-25 19:00

189啊？看来0day了啊

16#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-01-25 20:11

@wefgod 大牛光临此贴 受宠若惊

17#

超级大菜鸟 | 2014-01-25 20:32

http://www.jzbkq.com 楼主 这个站求X 非法占 你注册个账号X试试

18#

0x_Jin (世上人多心不齐) | 2014-01-25 20:38

@超威蓝猫 - - 这是常识性问题而已

19#

Ki11 (ฏ๎๎๎๎๎๎๎๎๎ฏ ้้้้้็็็็็้้้้็็็็็ฏด้้้้้็็็็็้้้้้็็็็็้้้้้็็็้็็็ ้้้้้็็็็็้้้้็็็็็ฏ๎็็็็็็oด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็ ้้้้้็็็็็้้้้็็็็็ฏด้้้้้็็็็็้้ ้้้้้็็็็็้้้้็็็็็ฏ๎๎๎๎๎๎๎๎๎ฏฏด้้้้้็็็็็้้o ้้้) | 2014-01-25 21:35

@0x_Jin 真的是 常识 性问题吗

20#

Oops (头像是柚木（RIO）)‮(谢感边右) | 2014-01-25 21:53

@0x_Jin 反射总是遇到把&当连接参数处理.然后就忽略了它

21#

回复此人感谢

wefgod (求大牛指点) | 2014-01-25 22:01

@超威蓝猫 别这样……

22#

0x_Jin (世上人多心不齐) | 2014-01-25 22:12

@Oops 我插件上带了 url编码 转码一下就好了

23#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-01-26 17:44

晕 这方法太多了吧，编码，变形，加密，混淆……

留言评论（旧系统）：

文章来源于lcx.cc:过滤了符号 和 / 该如何绕过进行 XSS 攻击?