前言：

内容来源于乌云漏洞

今日思考xss漏洞，

今天看到一篇文章，里面详细说了xss的绕过技巧，虽然时间久了，没有去尝试，待会有时间去测试一下

以下是整理后的文章，原文在下面

文章链接：

https://drop.zone.ci/drops/Bypass xss过滤的测试方法.html

内容：

1、首先就是判断是否<b>b标签是否被html编码了，

什么意思？

就是说发送一个<u>标签，服务器是否将<>号，实体编码成&lt;     但是我发现浏览器好像也不解析这个，就是不会转换成尖括号，编码了，那就是浏览器就不能将<>号里，当成js代码去执行了，

2、尝试其他开放标签，然后查看响应包，看是否会被过滤

3、然后尝试xss的payload，看是否会被过滤

         常见的xsspayload都被过滤，绕过的几种思路

1、尝试大小写绕过，

2、如果<script>和</script>标签过滤掉，可以尝试双写，看是否可以绕过

3、当<script>标签被过滤，尝试使用<a>标签尝试

<a href="http://www.google.com">Clickme</a>

 然后查看判断是否对href进行过滤，还是对里面的内容进行过滤

如果数据被过滤，插入JavaScript协议看看，这里就有点看不懂了
 

<a href="javascript:alert(1)">Clickme</a>

是否返回错误 javascript的整个协议内容是否都被过滤掉，还是只过滤了javascript字符 尝试下大小写转换

sleeping