去年9月转了一篇文章,取名为《77怒汉,77个XSS用例总结》,现在已经被我删掉了,是一些XSS用例的总结,一开始觉得是从某知名安全站转的,应该没什么问题,中间也有网友指出过其中的一些错误。后来找到了文章的出处,就是OWASP的XSS Filter Evasion Cheat Sheet,今天想自己看一看XSS有关BYPASS过滤的内容,越看越不靠谱,特别是一对照了英文原版的时候,我发现那篇翻过来的东西就是篇垃圾啊,不仅翻译有问题啊,尼玛很多地方代码都是一样的啊。
在这里要为转载了一篇垃圾文章道歉,特别那篇文章已经被好多采集站和黑客站转过去传播了,在这里一并向那些被误导的读者道歉。由于还没出中文版的XSS Filter Evasion Cheat Sheet,所以大家还是努力学英文吧,最近对翻译的东西很反感,很多东西吧,翻过来水平不行,味道完全变了,然后又不加原文出处,典型的天朝山寨作风。
不过我发现XSS Filter Evasion Cheat Sheet里面还是有些地方需要改的,比如在这一条:
HTML entities
The semicolons are required for this to work:
<IMG SRC=javascript:alert("XSS")>
实际上很明显显示出来的是不对的,实际意思是应该是使用"来代替双引号,所以说需要分号没有被过滤,因此实际上应该是:
<IMG SRC=javascript:alert("XSS")>
不过img标签在src的弹框好像IE6以后的版本都不行了。
在研究XSS各种变形的时候发现一个好网站,有需要的时候可以上去查查
HTML5 Security Cheatsheet
你可能喜欢
0 条评论。