输入<script>alert("hello")</script>可能被转换为<script>alert(>xss detected<)</script>。
绕过方法:
1、绕过magic_quotes_gpc
magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如‘转换为\',“为\“,\为\\
<script>alert("hello")</script> 为 <script>alert(\"hello\")</script>
这样XSS就失效了,可以使用JavaScript的String.fromCharCode方法来绕过。
可以利用hackbar中的xss选型里的String.fromCharCode功能。
2、HEX编码
https://www.107000.com/T-Hex 在线工具
hackbar里也可以进行转换。
3、改变大小写
4、关闭标签
关闭前面的标签,><script>alert("hello")</script>