burp技术主题基本技能之使用HTML编码与前导零进行xss bypass

使用编码对攻击进行模糊处理

https://portswigger.net/web-security/all-topics burp官网所有技术主题

• 基础技能
  

• URL decoded 服务器端；HTML decoded 客户端
  input filters输入过滤器：还需要对输入进行解码，检查输入安全性

• 为什么要编码？
  [...]/?search=Fish+&+Chips & 有特殊含义：导致服务器端认为search=Fish和Chips是两个参数
  [...]/?search=Fish+%26+Chips & 特殊含义消失了：编码后导致服务器端认为 search=Fish+%26+Chips 是一个参数，这叫做转义或编码。

• HTML 编码的前导零
  https://portswigger.net/web-security/essential-skills/obfuscating-attacks-using-encodings#obfuscation-via-html-encoding

强调一下：HTML decoded 通常是客户端。

比如payload：alert() 服务器端会检查到 alert()。但使用HTML alert(1) 会绕过服务器的防御。而 HTML编码经过浏览器会解析回 alert()

• 前导零
  当使用十进制或十六进制样式的 HTML 编码时前面可以加0
  :

• 案例分享：反射 XSS 500刀
  

https://medium.com/@snoopy101/you-can-add-extra-zeroes-xss-bypass-on-a-private-bug-bounty-program-77440495e448