编码绕过本质:
比如JS中过滤了<>,但是没有过滤\
JS中是可以进行Unicode编码的,所以就可以编码绕过了 | 用编码绕过原字符 | JS中语句结束要;
XSS绕WAF的关键就是绕过被禁用的属性(语句来自B哥)
注意事项:
绕WAF的时候,可以先局部检测,然后组合检测
HTML标签——>HMTL编码、URL地址中—->URL编码 、JS标签中——>Unicode编码
< 不光可以写为 \u003c,还可以写为 \x3c, > 同样可以写为 \x3e
img标签src不用双引号
chrome 会自动对”, >, < 进行转换URL格式
gb系列的编码,可以宽字节
href中可以用伪协议:javascript:alert(1)
HTML编码改为�xx
弹窗事件:alert、confirm、prompt