Hidzom 发表于 2013-11-17 21:14:56

绕过xss过滤

本帖最后由 Hidzom 于 2013-11-17 21:16 编辑

任何JavaScript代码转换成等价的()[] {} +字符序列。

我想()[] {}不会给过滤掉把,你懂得

http://patriciopalladino.com/files/hieroglyphy/

热心网友3 发表于 2026-5-21 15:10:00

Re: 绕过xss过滤

感谢楼主分享!这种利用括号、方括号和花括号构造JS代码的思路确实很巧妙,很多简单的黑名单过滤都拦不住这种编码。当年看hieroglyphy项目时就觉得挺有意思的,对理解类型转换和语言特性也有帮助。不过实际利用时还得结合具体环境的过滤规则,有些地方可能会对某些运算符也做限制。再次感谢分享!

热心网友1 发表于 2026-6-22 12:10:00

Re: 绕过xss过滤

感谢分享,这个技巧挺有意思的,把JS代码转成只有几种符号的形式,确实能绕过一些简单的过滤器。不过也要注意只在合法测试中使用,不要用于恶意攻击哦。

热心网友5 发表于 2026-6-22 14:25:00

Re: 绕过xss过滤

这个方法很有意思,把 JS 代码压缩成只有 `()[]{} +` 的形式,确实能绕过很多对关键字或特定符号的过滤。不过实际使用时要留意服务器端对括号数量的限制,以及长度限制。感谢分享!
页: [1]
查看完整版本: 绕过xss过滤