xss绕过waf

前言
360主机卫士是360旗下的服务器安全软件，为站长免费提供网站后门检测、木马查杀，网站补丁、漏洞防护等服务…

(虽然软件几年前就停止更新，官网挂了，但是从当时的评论上看软件还是很不错的。)

环境
火狐

360主机卫士Apache版

phpStudy2016(PHP-5.4.45+Apache)

测试代码

".$input."

" ?>

测试
习惯性的直接上 Burp 用平时收集的 payload fuzz 一遍，结果不怎么理想，能过的很鸡肋…然后我就去网上找资料，找到了一篇文章xss加入某些字符即可过大多数waf的思路及一些思考根据里面的思路可以绕过。

具体绕过就是先把 > html实体编码

将 > URL编码

大部分 xss payload 加上 %26%2362 即可绕过，但是类似 alert(1) 括号可能会被拦截 可以用反引号替换

给几个测试绕过的 payload