[转载]避开XSS过滤 常用的方法
摘要:转自:http://hi.baidu.com/springemp/blog/item/cf873f1224bf0e02dc540120.html2012年06月05日 星期二 16:101、 许多过滤匹配特殊的标签,包括起始与结束尖括号。但是,许多浏览器接受结束括号前的空白符,允许攻击者轻易避开这种过滤。例如:<script >2 、因为许多人用小写字符编写HTML代码,所以一些过滤仅检查常用的小写恶意标签。例如:<ScRiPt>,通过改变字符大小写避开过滤。3 、一些过滤匹配任何成对的起始与结束尖括号,删除其中的任何内容,但通常可以依靠周围现有的语法,结束注入的标签,
阅读全文
posted @
2012-07-04 20:59
xfans
阅读(318)
推荐(0)
管理
浙公网安备 33010602011771号