214,

1/11

ezkiller

xss 우회할 방법 없을까요??

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_Web&no=187 [복사]

허용된 문자 < >" ( ) { } [ ] \
비 허용 문자 = / alert
[removed] : <script (뭔 짓을 하던지)>

이런데.. 도대체 스크립트가 뜨질 않네요..ㅠ 참고할 만한 사이트나 파훼법 부탁드려요
=이 안먹히니 일반적인 스크립트는 안되는거 같고.. 어떻게 해야 할까요...>>??

Hit : 7480 Date : 2014/10/22 12:09


rubiya	http://utf-8.jp/public/jsfuck.html	2014/10/26
1n73ction	윗 방식은 생성자난독화 기법으로 불리우며, NaN, Undefined, Number, Boolean, Object 등의 문자열을 조립하며 변수 및 함수명을 선언하는 방식으로 문자열처리를 하여 쿼터 등의 문자를 쓰지 않고도 XSS 코드 작성이 가능한 방법입니다. 이와 비슷한 기법으로 달러 난독화로도 불리우는 스플릿 문자 $ 를 이용한 jj encoding 이라는 난독화 기법이 존재하나 , jj encode 방식은 Operating System , Browser depended 즉 유연성 ( flexibility ) 이 떨어져 몇몇 환경에서는 실행되지 않으므로 부적절합니다. 위와 같은 생성자 [] 난독화 방식이나 META 태그에서 charset 속성 설정을 이용하여 여러가지 인코딩 방식을 통해 우회를 하는 방법이 가장 적절하겠으나 , 언어셋을 이용하여 우회하는 방식은 %3C , %3E 외에 비허용 문자인 %3D 를 포함시켜야 하기 때문에 생성자 [] 스트링을 이용한 난독화 기법만이 필터링 처리 되지 않는 가장 적절한 방식이라고 볼 수 있겠습니다 :D	2014/10/26
ezkiller	감사합니다.. 그런데 저 난독화 방식은 html단에 삽입되어도 작동하나요??	2014/10/27

214

CloudFlare 쓰는 사이트는 해킹하기 힘들까요?[4]

sogreat

03/21

1142

213

웹해킹 관련하여 질문드립니다[5]

solo20

05/21

2825

212

웹해킹 입문 책추천해주세요

kjwp1

02/24

2986

211

이미지안에 리다이렉트 소스(악용목적X)[2]

tjdgus1515

12/06

5047

210

아파치 php mysql 연동관련 질문입니다.[3]

커세어

10/19

4095

209

sql injection 방어 코드[2]

europa8340

10/04

3288

208

웹 sqlmap 중에[1]

europa8340

07/26

2682

207

웹 해 킹 가능하는[1]

custom890

12/31

3353

206

웹 해킹 자신있으신 분들 꼭 봐주세요

bird999

12/05

3374

205

웹 해킹 하는데 웹 개발도 할 줄 알아야 하나요?[1]

unmask

10/25

3195

204

해킹맛보기(서적) 아파치프로그램 질문입니다[1]

커세어

09/29

3080

203

웹해킹 입문할려고합니다. 조언및과외해주실스승님 구합니더[3]

edustars

09/26

3267

202

417 error

wiwiwi79

08/15

2923

201

홈페이지 디도스 원리?[1]

tbxmaos

02/12

3059

200

아파치 설정중 오류[2]

eunjong147

02/06

9120

199

칼리리눅스 dvwa 설치과정중 오류[2]

wnsdud5534

01/23

3910

198

웹 해킹 질문입니다.

dsgoidsog

11/26

3196

197

XSS <> 치환 우회가 가능한가요?[2]

drrobot333

11/19

4101

196

PHP에서 이메일 전송할때 가로챌 수 있나요?[9]

drrobot333

11/16

3040

195

웹해킹 질문[1]

ericseo16

10/14

3216

1 [2][3][4][5][6][7][8][9][10]..[11]