在XSS的漏洞挖掘中编码和反斜杠也是需要掌握的基本方法,这里给出XSS漏洞挖掘中采用CSS编码和反斜杠的三个技巧。
作者&译者:wpulog
2010/07/17
技巧一、改变编码中0的数量 (�X -> �0000X)。
例如:
效果是一样的。
技巧二、改变编码字符的大小写(�A -> �a)。
例如:
效果是一样的。
技巧三、编码字符的后边可以添加空白符(IE支持x20, x09;FF和Opera支持x0A, x0D)。
例如:在IE中
同样能够运行,65与x之间是空格。
另外,CSS中在字母前添加反斜杠会被忽略,如x等同于x,主要n不等于n。在火狐中也可在换行符(x0A,X0D)前添加反斜杠,如:
在IE中CSS属性值可以插入空字符(�),例如:曾经的网易邮箱Webmail XSS漏洞
。
不同的浏览器可能支持不同的编码方式,如在火狐浏览器中不支持对括号进行编码。而IE支持对括号编码,如:
在IE中可正常执行。
这些技巧可以结合其他的一些编码方法混合使用,也许在XSS的漏洞挖掘中会收到意外的效果。
[+]Reference:
~~~~~~~~~
http://heideri.ch/jso/#61
文章来源于lcx.cc:XSS漏洞挖掘 - CSS编码和反斜杠的三个技巧
求生之路2、l4d2、l4d、求生之路,游戏所有物体、模型大全。 由于V社(Valve,维尔福软件公司)的起源游戏引擎不断的更新中,模型也在不断的增加,这里只是极少极少一部分模型,很难收集完全。 由于起源游戏引擎是通用的,所以本模型列表…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论