使用编码对攻击进行模糊处理
https://portswigger.net/web-security/all-topics burp官网所有技术主题
-
基础技能
-
URL decoded 服务器端;HTML decoded 客户端
input filters输入过滤器:还需要对输入进行解码,检查输入安全性 -
为什么要编码?
[...]/?search=Fish+&+Chips & 有特殊含义:导致服务器端认为search=Fish和Chips是两个参数
[...]/?search=Fish+%26+Chips & 特殊含义消失了:编码后导致服务器端认为 search=Fish+%26+Chips 是一个参数,这叫做转义或编码。
强调一下:HTML decoded 通常是客户端。
比如payload:alert() 服务器端会检查到 alert()。但使用HTML alert(1) 会绕过服务器的防御。而 HTML编码经过浏览器会解析回 alert()
-
前导零
当使用十进制或十六进制样式的 HTML 编码时前面可以加0
: -
案例分享:反射 XSS 500刀
