burp技术主题基本技能之使用HTML编码与前导零进行xss bypass

使用编码对攻击进行模糊处理

https://portswigger.net/web-security/all-topics burp官网所有技术主题

image

强调一下:HTML decoded 通常是客户端。

比如payload:alert() 服务器端会检查到 alert()。但使用HTML alert(1) 会绕过服务器的防御。而 HTML编码经过浏览器会解析回 alert()

  • 前导零
    当使用十进制或十六进制样式的 HTML 编码时前面可以加0
    :

  • 案例分享:反射 XSS 500刀
    image

image

https://medium.com/@snoopy101/you-can-add-extra-zeroes-xss-bypass-on-a-private-bug-bounty-program-77440495e448

posted @ 2023-12-10 19:19  sec875  阅读(100)  评论(0编辑  收藏  举报