精华内容
下载资源
问答
  • UTF8,ANSI,UTF7,UNICODE,UTF32等字符集字符串与字节数组互转工具,方便调试学习
  • UTF7 编码及解码工具

    热门讨论 2011-04-24 20:20:54
    UTF7 编码及解码工具 用于XSS方面
  • Utf7Ime输入法

    2015-11-09 19:37:54
    该资源是写uiautomator时用到ime7中文输入法app源码。。在项目的bin目录下有我已经编译出来的apk文件,直接将其安装到手机即可使用。我从git上down下来跑了一遍后的文件,可用。
  • CTF—base64+UTF7/8

    千次阅读 2016-10-11 22:44:20
    base64+utf7/8的原理和实验步骤

    1.base64




    base64编码:输出文本末尾多为1或者2个=号

    转前: s 1 3

    先转成Ascii:对应 115 49 51

    2进制: 0111001100110001 00110011

    6个一组(4组) 011100110011000100110011

    然后才有后面的 011100 110011 000100 110011

    然后计算机是8位8位的存数 6不够,自动就补两个高位0了

    所有有了 高位补0

    科学计算器输入 00011100 0011001100000100 00110011

    得到 28 51 4 51-----------cz E z


     “迅雷下载”为例: 很多下载类网站都提供“迅雷下载”的链接,其地址通常是加密的迅雷专用下载地址。

    其实迅雷的“专用地址”也是用Base64"加密"的,其过程如下:

    一、在地址的前后分别添加AA和ZZ

    二、对新的字符串进行Base64编码

    另:快车的与迅雷类似,只不过在第一步时加的“料”不同罢了,Flashget在地址前后加的“料”是[FLASHGET]

    而QQ旋风的干脆不加料,直接就对地址进行Base64编码了

    2.UTF7/8



    1. utf7

    首先必须先决定哪些字元呈现为 ASCII [3] 格式,哪些字元呈现在 Unicode 区块。简单的编码器可以假设所有的字元皆可以很安全的被直接编码。然而要将原本属于 Unicode 区块的字元视为 ASCII 来加以编码的代价是需要额外的2⅔字元。

    Unicode 序列一旦被认定后,其必须以下面的程序来加以编码,并以适当的符号加以标注:

    我们将使用 £† (0x00A3) (0x2020) 字元序列来作为以下的范例。

    将字元的 Unicode 数值 (UTF-16) 以二进位呈现:

    0x00A3 → 0000 0000 1010 0011

    0x2020 → 0010 0000 0010 0000

    将二进位序列合并

    0000 0000 1010 0011 and 0010 0000 0010 0000 → 0000 00001010 0011 0010 0000 0010 0000

    重新将二进位序列编组,以六位数为一组,由左开始:

    0000 0000 1010 0011 → 000000 001010 001100 100000 00100000

    如果最后一组小于六位数,则不足的位数以 0 补足尾数:

    0000 0000 1010 0011 → 000000 001010 001100 100000 001000000000

    将每一组六位数的数值以对应的 Base64 码取代:

    000000 001010 001100 100000 001000 000000 → AKMgIA

    解码

    首先讯息必须被拆分到纯文字与 Unicode 区块,紧接着Unicode 区块必须以下面的程序来进行解译(使用上面提到的范例):

    将每一个 Base64 码以二进位序列来描述,如下:

    AKMgIA → 000000 001010 001100 100000 001000 000000

    重新将二进位编组,以使其 16 位数一组,从左开始:

    000000 001010 001100 → 0000000010100011 00100000001000000000

    若有其中一组无法完全编成 16 位数一组,则先排除它:

    0000000010100011 0010000000100000

    每一个 16 位元的一组二进位码为 Unicode (UTF-16)的数字字元并且可以被改写为如下:

    0000 0000 1010 0011 ≡ 0x00A3 ≡ 16310

    2. utf7的安全性

    UTF-7 由于允许将相同来源的字串从base64 的模式被平移,而显得安全性薄弱。现今的邮件与传输方式由于都已支援 UTF-8,UTF-7 则已走入历史而很少再被使用

    3.如何识别


    4.utf8

        Utf7可以应用在电子邮件传输之类的应用

        Utf8用1到4个字节编码Unicode字符。用在网页上可以统一页面显示中文简体繁体及其它语言(如英文,日文,韩文)。

    5.xss:

        跨站脚本攻击(Cross SiteScripting),为不和层叠样式表(CascadingStyle Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

       

     


    展开全文
  • 本人在测试中经常遇到需要在app中需要输入一些内容,再去进入到下一个页面操作,所以经常变换输入法,自己写了一个把输入法设置为UTF7的方法,以免自己忘记设置导致用例失败。 public void setInputUtf() throws ...

    本人在测试中经常遇到需要在app中需要输入一些内容,再去进入到下一个页面操作,所以经常变换输入法,自己写了一个把输入法设置为UTF7的方法,以免自己忘记设置导致用例失败。

    public void setInputUtf() throws UiObjectNotFoundException {//设置输入法为UTF7
    clean();
    UiDevice.getInstance().pressHome();
    swipeLeft();
    getUiObjectByText("设置").clickAndWaitForNewWindow();
    getUiScrollabe().getChildByText(new UiSelector().text("语言和输入法"), "语言和输入法").clickAndWaitForNewWindow();
    while(true){
    UiObject input = new UiObject(new UiSelector().resourceId("android:id/checkbox").checked(false));
    if (input.exists()) {
    input.click();
    waitForUiObject("注意");
    getUiObjectByText("确定").clickAndWaitForNewWindow();
    }else{
    break;
    }
    }
    getUiObjectByTextResourceId("默认", "android:id/title").clickAndWaitForNewWindow();
    getUiObjectByText("UTF7 IME for UI Testing").clickAndWaitForNewWindow();
    String Input = getUiObjextByResourceId("android:id/summary").getText();
    assertEquals("修改默认书法失败!", "UTF7 IME for UI Testing", Input);
    clean();
    }


    展开全文
  • <br />about utf7-BOM string injection  <br />在一次和大牛Mario Heiderich的交流中,他问我知不知道“+/v8”,那时候我对这个一无所知,于是他就发我大牛Gareth Heyes'的一paper《XSS Lightsabre ...

    about utf7-BOM string injection 

    在一次和大牛Mario Heiderich的交流中,他问我知不知道“+/v8”,那时候我对这个一无所知,于是他就发我大牛Gareth Heyes'的一paper《XSS Lightsabre techniques》,在ppt的34页里:

    CSS expressions with UTF-7
    • UTF-7 BOM character can force UTF-7 in a external style sheet
    • Would you let me upload a style sheet?
    • @charset „UTF-7‟; works
    • But you don‟t need it
    • +/v8 is all you need
    +/v8
    body {
    font-family:
    '+AHgAJwA7AHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpAG8AbgAoAGEAbA
    BlAHIAdAAoADEAKQApADsAZgBvAG4AdAAtAGYAYQBtAGkAbAB5ADoAJw-';
    }

    于是我知道了“+/v8” :)于是就想到利用这个可以很好的xss百度空间,就有了用ie访问我的blog就弹框“/Happy New Year! thx mario./”的效果了!!

    这个利用基本上还是Gareth Heyes的ppt里提到的攻击原型,那么还有那些地方可以利用呢?经过测试在开头为UTF-7 BOM character的html在ie访问下自动转为UTF-7,只要我们可以控制文件的开头的几个字节,那么我就有可能通过过注射UTF-7 BOM character来进行xss了。到这里很自然的想到json callback里,立即用《Cross Site Scripting mhtml-file string injection》里的列子测试一下:

    http://www.tudou.com/my/channel/item.srv?icode=enQCgQKJTDs&callback=%2B%2Fv8%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg-%20xsadas

    很完美! :)赶快用google搜索一把 ...

    于是“heige(@hi_heige) 呵呵,又一个跨片全世界的 xss利用方式”诞生了,可惜没有找到google可利用的地方[我的美金阿~~]。那在hi群里调戏各大甲方的朋友好了,于是就有里linx牛的blog文《IE是怎么处理meta steam的编码的  && 那100+个xss》分析的很透彻,还纠正了我的一个错误 很cool!

    至于防御的问题,对于json的问题可以参考我以前blog文:《不要忘记数据本身的解析》:

    那么解决这个问题的方案有2点:
       1. 严格控制数据文件,返回的Content-Type。
       2. 数据存储时,使用编码。

    当时甲方的朋友们看到json里直接插入html标签进行xss后,都基本所用了“2. 数据存储时,使用编码”了,而且没有去限制“Content-Type”,基本很在继续的“text/html”,这个也为这次的utf7-BOM string injection埋下了罪恶种子,如果这次再不修改Content-Type,我想有可能种子还有机会发芽开花!! :) 我想如果上面的2点方案同时用上,应该是一个不错的选择。

    对于可以自己定义style sheet的地方,目前只有采用过滤的办法了或者定义css文件的开始的字节。因为这时候你指定的charset是不靠谱的! 在这个角度上来说,这个应该属于ie的问题。我尝试联系过ms的官方,可惜:

    Delivery to the following recipient failed permanently:

        security@microsoft.com

    Technical details of permanent failure:
    Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.4.1 security@microsoft.com: Recipient address rejected: Access Denied (state 14).

    通过上面的分析,utf7-BOM string injection的利用的主要意义在于bypass filter,比如百度空间对于“expression”等关键词都是采用暴力的态度的! 说到bypass filter我们应该提一下ie8的ie8 xss filter,所以我们也可以这样提:“bypass ie8 xss filter using utf7-BOM string injection”


    另外要提到的一个问题,utf7遇到bom自动转码的问题,不仅仅存在于ie,也存在于其他的应用程序里,如下图:

    最后提一下这个漏洞在xss worm上的利用,在我以前的blog文里《About Xss Worm》提到的"实现'多域'或者说'无域'的worm",这个漏洞方式绝对是一个完美的实现机会!

    感谢:
    thanks Mario Heiderich for u tell me what is "+/v8" :)
    thanks Gareth Heyes for u the nice paper.
    还有hi群朋友们的精彩讨论! :)

    展开全文
  • 在uiautomator中添加中文输入法Utf7ime的时候,ant构建出现报错: 第一个错误: [javac] D:\workspace\uiauto5\src\inputUTF7\Utf7ImeHelper.java:44: 软件包 com .beetstra.jutf7 不存在 原因:顺藤摸瓜发现...
    在uiautomator中添加中文输入法Utf7ime的时候,ant构建出现报错:

    第一个错误:
    [javac] D:\workspace\uiauto5\src\inputUTF7\Utf7ImeHelper.java:44: 软件包 com
    .beetstra.jutf7 不存在
    原因:顺藤摸瓜发现在网上的代码中在Utf7ImeHelper.java中加入了import com.beetstra.jutf7.CharsetProvider;而这个包是没必要的,直接删除即可通过构建

    第二个错误:
    请使用-Xlink:unchecked重新编译
    原因:支持范型的容器应该定义范型类型然后再使用,或者在方法前加一个忽略注释
    两个解决办法
    1.在前面加上<List>
    2.直接在出现警告的地方加上@SuppressWarnings
    这里直接选择了第二个办法
    ok,两个问题顺利解决
    展开全文
  • Unicode、ASCII、UTF7、UTF8、UTF16、UTF32

    千次阅读 2011-12-27 13:52:36
    4)UTF-8:编码是六个字节“EF BB BF E4 B8 A5”,前三个字节“EF BB BF”表示这是UTF-8编码,后三个“E4B8A5”就是“严”的具体编码,它的存储顺序与编码顺序是一致的。 9 国标 9.1 GB码 ...
  • 查看字符串在不同编码(ASCII、Unicode、UTF7、UTF8、Default、BigEndianUnicode)下的 Hex from http://www.cnblogs.com/del/archive/2008/09/05/1284923.html 本例效果图: 代码文件: unit Unit1; interface ...
  • UTF8其实和Unicode是同类,就是在编码方式上不同! 首先UTF8编码后的大小是不一定,不像Unicode编码后的大小是一样的! 我们先来看Unicode的编码:一个英文字母 “a” 和 一个汉字 “好”,编码后都是占用的空间...
  • javamail处理utf7的邮件

    2007-07-17 14:20:00
    目前的java不支持utf-7,所以读取utf-7的邮件内容会报错,解决办法很简单1.下载能解析utf-7的包。http://dl2.csdn.net/down4/20070717/17141812208.jar2.复制这个jar包到 $JAVA_HOME/jre/lib/ext 目录.(只能放到这...
  • utf7-BOM 字符串注入

    2012-03-14 10:55:36
    由于之前接触最多的是CSRF/CSS sql注入之类的攻击,所以这些都是保证的,但这次从安全同学那里第一次听说利用UTF-7编码结合XSS去攻击的安全漏洞,搜索了个海枯石烂,总算搞懂了       网上找到的实例: ...
  • //常见的编码格式有:Ascii、ANSI(MBCS)、Unicode(LittleEndian,小头)、BigEndainUnicode(大头)、UTF7、UTF8、UTF16、UTF32 //像GB2312、GB18030、Big5也有自己编码格式 //以下都以"测试ceshi"为例对各种编码格式...
  • /// <include file='doc/UTF7Encoding.uex' path='docs/doc[@for="UTF7Encoding.UTF7Encoding"]/*' /> public UTF7Encoding() : this(false) { } /// <include file='doc/UTF7Encoding.uex' ...
  • UTF-7 编码转换

    2012-08-29 17:13:00
    #import"GTMBase64.h" //utf-7 需要用到GTMBase64 ...- (NSString *)stringFromUTF7String:(NSString *)utf7String { NSMutableString *result = [NSMutableString string]; NSInteger location = 0; ...
  • UTF-7编码

    2016-11-27 13:18:00
    目录 1 编码1 2 编码代码(C++)2 3 解码代码(C++)4 4 测试代码(VC++)7 ...UTF-7编码的规则及特点为: ...2)UTF16大于0x7F的字符,采用Base64编码,然后在首尾分别加上+-; 3)UTF-7编码后,所有字符均小于...
  • utf-7转码

    2017-07-10 05:33:00
    List: imap I tried the code you referenced (the exact program and compilation script are in attachments), but it failed. The program takes input as modified ...UTF-7, uses MailboxToURL routine...
  • Linux centos7 语言 utf8->UTF-8 localedef -c -f UTF-8 -i zh_CN zh_CN.utf8 # vim /etc/locale.conf LANG=zh_CN.utf8 # sudo echo LANG=zh_CN.utf8 >/etc/locale.conf # source /etc/locale.conf # vim ...
  • utf-7 xss

    2012-03-14 10:35:56
    utf-7 xss 2012-02-13 22:49 星期一 晴  ----------------------------------------- UTF-7 XSS Paper ----------------------------------------- ***************** 0x01. UTF-7是什么 *****************...
  • UTF-7 编码解码工具

    2014-03-14 10:36:47
    UTF-7,编码解码工具,可直接用于跨站脚本攻击xss
  • delphi7下ansi转utf8

    2015-05-07 11:51:15
    delphi7用于将汉字转utf8,如http通讯时使用
  • tomcat7,已经设置utf-8编码,这个tomcat已经设置了utf-8的编码了,不需要再次设置
  • 受影响浏览器版本为IE6,影响范围较小。 如果在Content-Type中没有设置charset,如下: ... 在meta标签中也没有设置字符集 &... charset=utf-8″ /&...就可以通过字符集抢占的方式使浏览器以UTF-7解析。...
  • 如何解决UTF-7漏洞

    2014-07-25 15:07:38
    又有应用被扫描到这个漏洞了,这个漏洞太低调,经常被大家忽略。且遇到后找不到解决方案。...2:组织UTF-7 BOM 在response 的最前面加上换行或空格   3:组织页面里在&lt;meta&gt; 前设置chaset ...
  • What is UTF-7? A kind of encoding method of Unicode. Express all Unicode characters by ASCII letters only. Part of symbols are also encoded. Part of symbols are also encoded. ABCDE +
  • 这段时间在做PushServer时,需要对编码过的邮件标题及发信人进行解码,然而开发的时候发现Javamail无法对UTF-7等编码解码,会抛出UnsupportedEncodingException。查看过JDK中rt.jar的部分代码,也看过javamail的部分...
  • 小心Windows7UTF-8代码页

    千次阅读 2016-12-14 09:13:34
    小心Windows7UTF-8代码页 1 1.1 UTF-16与UTF-8相互转换 1 1.1.1 使用Windows API 1 1.1.2 自己编码 1 1.2 测试代码 4 1.3 测试结果 5  第1章 小心Windows7UTF-8代码页
  • 工作中遇到遇到一个问题,就是win10电脑可以设置全局的utf-8编码,想按照这个思路把win7环境也配置成utf-8编码,对于一些有文字展示的,不会乱码。 win10环境设置utf-8编码的方法很简单,可以参考这篇文章:...
  • RFC2152 UTF-7 中文

    千次阅读 2008-08-18 20:12:00
    RFC2152 UTF-7 中文翻译:李静南时间:2006-03-29EMAIL:robin-fox@sohu.com版权:可以用于非商业用途自由转载,但请保留本文档的翻译完整信息。译者保留对本中文翻译文档的版权。————————————————...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 42,381
精华内容 16,952
关键字:

utf7