Я только что нашел это на xssed.com, и если кто-нибудь может объяснить мне, почему это предупреждение шоу hereПочему этот триггер XSS?
Почему% 25, а затем шестнадцатеричное значение, я попытался просто% hexvalue и ничего не происходит, то как% 25 помогает. Спасибо, удовлетворите мое любопытство ...
Полный XSS полезная нагрузка:
% 2522% 253e% 253c% 2573% 2563% 2572% 2569% 2570% 2574% 253e% 2561% 256C% 2565% 2572% 2574% 2528% 252F% 2558% 2553% 2553% 252F% 2529% 253c% 252F% 2573% 2563% 2572% 2569% 2570% 2574% 253e = XSS-ME
Если вы выполняете один url- вы получите следующее:
%22%3e%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%2f%58%53%53%2f%29%3c%2f%73%63%72%69%70%74%3
При выполнении 2-го URL расшифровывать снова вы получите полезную нагрузку:
"><script>alert(/XSS/)</script>=XSS-ME
Это является Doulbe-кодировке URL полезной нагрузки. когда %2522 является url-decoded, он становится: %22, потому что hex-25 равен%, и когда он снова декодируется, он становится ".
Спасибо, и еще один вопрос с & это нормально без & ничего не происходит. –
Это ответ. Некоторые поисковики дали мне ответ. Спасибо, в любом случае.
http://www.criticalsecurity.net/index.php/topic/8870-bypassing-phps-urlencode/
http://security.stackexchange.com/ - хороший форум для таких вопросов. –