一、前言 在一次 XSS 测试中,往可控的参数中输入 XSS Payload ,发现目标服务把所有字母都转成了大写,假如我输入 alert(1) ,会被转成 ALERT(1) ,除此之外并没有其他限制,这时我了解到 JavaScript 中可以执行无字母的语句,从而可以绕过这种限制来执行 XSS Payload 。 二、JS基础 先执行两段JS代码看下 ( ]+[...
一、前言 在一次 XSS 测试中,往可控的参数中输入 XSS Payload ,发现目标服务把所有字母都转成了大写,假如我输入 alert(1) ,会被转成 ALERT(1) ,除此之外并没有其他限制,这时我了解到 JavaScript 中可以执行无字母的语句,从而可以绕过这种限制来执行 XSS Payload 。 二、JS基础 先执行两段JS代码看下 ( ]+[...
