遇到一个很奇葩的XSS，我们先来加一个双引号，看看输出： 双引号被转义了，我们对双引号进行URL双重编码，再看一下输出： 依然被转义了，我们再加一层URL编码，即三重url编码，再看一下输出： URL编码被还原为双引号，并带入到html中输出。构造Payload实现弹窗 ...

前言 其实看这篇文章就差不多懂了： https://www.cnblogs.com/b1gstar/p/5996549.html 这里只是记录一下方便理解 以上是一些xss编码解析的例子 首先需要知道html在解析相应的文档时可能会使用：html解析、url解析、javascript解析 ...

XSS也太太太难了，主要也是因为自己没花时间集中。 文章脉络：根据我粗浅的理解，从开始学习XSS到现在，从一开始的见框就插到现在去学构造、编码，首先需要的是能看懂一些payload，然后再去深入理解。所以，文章首先会介绍一些常见的可供利用的编码，然后再理解浏览器如何解析HTML文档，最后再总结 ...

XSS编码与绕过 0x00 背景 对于了解web安全的朋友来说，都知道XSS这种漏洞，其危害性不用强调了。一般对于该漏洞的防护有两个思路：一是过滤敏感字符，诸如【<，>，script，'】等，另一种是对敏感字符进行html编码，诸如php中的htmlspecialchars ...

之前遇到过一个下面这种形式的字符串，不知道具体是什么含义： %E4%BD%A0%E5%A5%BD%EF%BC%8C%E4%B8%96%E7%95%8C 推断这是URL编码格式，试了一下转码，发现真的可以。 在线转码工具：http://tool.chinaz.com/tools ...

URL encoding(URL编码),也称作百分号编码（Percent-encoding），是指特定上下文的统一资源定位符（URL）编码机制UrlEncode：将字符串以URL编码返回值：字符串函数种类：编码处理编码原理：将需要转码的字符转为16进制，然后从右到左，取4位(不足4位直接处理 ...

一、实体编码 将不可信数据插入到HTML标签之间时，应对这些数据进行HTML Entity编码，具体编码对照表如下。 显示结果 描述 实体名称 实体编号 空格 & &#160 ...

一、问题的由来 URL就是网址，只要上网，就一定会用到。 一般来说，URL只能使用英文字母、阿拉伯数字和某些标点符号，不能使用其他文字和符号。比如，世界上有英文字母的网址 “http://www.abc.com”，但是没有希腊字母的网址“http://www.aβγ.com”（读作阿尔法 ...