绕过XSS过滤规则

相信大家在做***测试的时候都有过这样的经历，明明一个XSS的漏洞，但是却有XSS过滤规则或者WAF保护导致我们不能成功利用，比如我们输入alert("hi")，会被转换为，这样的话我们的XSS就不生效了，下面就教大家几种简单的绕过XSS的方法：

创新互联专注为客户提供全方位的互联网综合服务，包含不限于网站建设、做网站、绵阳网络推广、小程序设计、绵阳网络营销、绵阳企业策划、绵阳品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；创新互联为所有大学生创业者提供绵阳建站搭建服务，24小时服务热线：18980820575，官方网址：www.cdcxhl.com

1、绕过 magic_quotes_gpc

magic_quotes_gpc=ON是php中的安全设置，开启后会把一些特殊字符进行轮换，比如'(单引号)转换为\'，"(双引号)转换为\" ，\转换为\\

比如：会转换为,这样我们的xss就不生效了。

针对开启了magic_quotes_gpc的网站，我们可以通过javascript中的String.fromCharCode方法来绕过，我们可以把alert("XSS");转换为

String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41)那么我们的XSS语句就变成了

String.fromCharCode()是javascript中的字符串方法，用来把ASCII转换为字符串。

如何转换ASCII码呢？

我们可以使用 hackbar 来搞定，Firefox的扩展工具https://addons.mozilla.org/en-US/firefox/addon/hackbar/