事件处理程序--XSS

最新推荐文章于 2022-08-21 09:51:53 发布
最新推荐文章于 2022-08-21 09:51:53 发布
阅读量278 收藏
点赞数
分类专栏: Web攻击
原文链接:https://www.freebuf.com/articles/web/153055.html
版权

  1. FSCommand() (攻击者当需要在嵌入的Flash对象中执行时可以使用此事件)

  2. onAbort() (当用户中止加载图片时)

  3. onActivate() (当对象激活时)

  4. onAfterPrint() (用户打印或进行打印预览后触发)

  5. onAfterUpdate() (从数据源对象更新数据后由数据对象触发)

  6. onBeforeActivate() (在对象设置为激活元素前触发)

  7. onBeforeCopy() (攻击者在选中部分拷贝到剪贴板前执行攻击代码-攻击者可以通过执行execCommand(“Copy”)函数触发)

  8. onBeforeCut() (攻击者在选中部分剪切到剪贴板前执行攻击代码)

  9. onBeforeDeactivate() (在当前对象的激活元素变化前触发)

  10. onBeforeEditFocus() (在一个包含可编辑元素的对象进入激活状态时或一个可编辑的对象被选中时触发)

  11. onBeforePaste() (在用户被诱导进行粘贴前或使用execCommand(“Paste”)函数触发)

  12. onBeforePrint() (用户需要被诱导进行打印或攻击者可以使用print()或execCommand(“Print”)函数).

  13. onBeforeUnload() (用户需要被诱导关闭浏览器-除非从父窗口执行,否则攻击者不能关闭当前窗口)

  14. onBeforeUpdate() (从数据源对象更新数据前由数据对象触发)

  15. onBegin() (当元素周期开始时由onbegin 事件立即触发)

  16. onBlur() (另一个窗口弹出当前窗口失去焦点时触发)

  17. onBounce() (当marquee对象的behavior属性设置为“alternate”且字幕的滚动内容到达窗口一边时触发)

  18. onCellChange() (当数据提供者的数据变化时触发)

  19. onChange() (select,text, 或TEXTAREA字段失去焦点并且值发生变化时触发)

  20. onClick() (表单中点击触发)

  21. onContextMenu() (用户需要在攻击区域点击右键)

  22. onControlSelect() (当用户在一个对象上创建控件选中区时触发)

  23. onCopy() (用户需要复制一些东西或使用execCommand(“Copy”)命令时触发)

  24. onCut() (用户需要剪切一些东西或使用execCommand(“Cut”)命令时触发)

  25. onDataAvailable() (用户需要修改元素中的数据,或者由攻击者提供的类似功能)

  26. onDataSetChanged() (当数据源对象变更导致数据集发生变更时触发)

  27. onDataSetComplete() (数据源对象中所有数据可用时触发)

  28. onDblClick() (用户双击一个表单元素或链接)

  29. onDeactivate() (在激活元素从当前对象转换到父文档中的另一个对象时触发)

  30. onDrag() (在元素正在拖动时触发)

  31. onDragEnd() (当用户完成元素的拖动时触发)

  32. onDragLeave() (用户在拖动元素离开放置目标时触发)

  33. onDragEnter() (用户将对象拖拽到合法拖曳目标)

  34. onDragOver() (用户将对象拖拽划过合法拖曳目标)

  35. onDragDrop() (用户将一个对象(例如文件)拖拽到浏览器窗口)

  36. onDragStart() (当用户开始拖动元素时触发)

  37. onDrop() (当拖动元素放置在目标区域时触发)

  38. onEnded() (在视频/音频(audio/video)播放结束时触发)

  39. onError() (在加载文档或图像时发生错误)

  40. onErrorUpdate() (当从数据源对象更新相关数据遇到错误时在数据绑定对象上触发)

  41. onFilterChange() (当滤镜完成状态变更时触发)

  42. onFinish() (当marquee完成滚动时攻击者可以执行攻击)

  43. onFocus() (当窗口获得焦点时攻击者可以执行攻击代码)

  44. onFocusIn() (当元素将要被设置为焦点之前触发)

  45. onFocusOut() (攻击者可以在窗口失去焦点时触发攻击代码)

  46. onHashChange() (当锚部分发生变化时触发攻击代码)

  47. onHelp() (攻击者可以在用户在当前窗体激活时按下F1触发攻击代码)

  48. onInput() (在<input><textarea>元素的值发生改变时触发)

  49. onKeyDown() (用户按下一个键的时候触发)

  50. onKeyPress() (在键盘按键被按下并释放一个键时触发)

  51. onKeyUp() (用户释放一个键时触发)

  52. onLayoutComplete() (用户进行完打印或打印预览时触发)

  53. onLoad() (攻击者在窗口加载后触发攻击代码)

  54. onLoseCapture() (可以由releaseCapture()方法触发)

  55. onMediaComplete() (当一个流媒体文件使用时,这个事件可以在文件播放前触发)

  56. onMediaError() (当用户在浏览器中打开一个包含媒体文件的页面,出现问题时触发事件)

  57. onMessage() (当页面收到一个信息时触发事件)

  58. onMouseDown() (攻击者需要让用户点击一个图片触发事件)

  59. onMouseEnter() (光标移动到一个对象或区域时触发)

  60. onMouseLeave() (攻击者需要让用户光标移动到一个图像或表格然后移开来触发事件)

  61. onMouseMove() (攻击者需要让用户将光标移到一个图片或表格)

  62. onMouseOut() (攻击者需要让用户光标移动到一个图像或表格然后移开来触发事件)

  63. onMouseOver() (光标移动到一个对象或区域)

  64. onMouseUp() (攻击者需要让用户点击一个图片)

  65. onMouseWheel() (攻击者需要让用户使用他们的鼠标滚轮)

  66. onMove() (用户或攻击者移动页面时触发)

  67. onMoveEnd() (用户或攻击者移动页面结束时触发)

  68. onMoveStart() (用户或攻击者开始移动页面时触发)

  69. onOffline() (当浏览器从在线模式切换到离线模式时触发)

  70. onOnline() (当浏览器从离线模式切换到在线模式时触发)

  71. onOutOfSync() (当元素与当前时间线失去同步时触发)

  72. onPaste() (用户进行粘贴时或攻击者可以使用execCommand(“Paste”)函数时触发)

  73. onPause() (在视频或音频暂停时触发)

  74. onPopState() (在窗口的浏览历史(history 对象)发生改变时触发)

  75. onProgress() (攻击者可以在一个FLASH加载时触发事件)

  76. onPropertyChange() (用户或攻击者需要改变元素属性时触发)

  77. onReadyStateChange() (每次 readyState 属性变化时被自动调用)

  78. onRedo() (用户返回上一页面时触发)

  79. onRepeat() (事件在播放完重复播放时触发)

  80. onReset() (用户或攻击者重置表单时触发)

  81. onResize() (用户改变窗口大小时,攻击者可以自动以这种方法触发:
    <SCRIPT>self.resizeTo(500,400);</SCRIPT>)

  82. onResizeEnd() (用户完成改变窗体大小时触发)

  83. onResizeStart() (用户开始改变窗体大小时触发)

  84. onResume() (当元素继续播放时触发)

  85. onReverse() (当元素回放时触发)

  86. onRowsEnter() (用户或攻击者需要改变数据源中的一行)

  87. onRowExit() (用户或攻击者改变数据源中的一行后退出时触发)

  88. onRowDelete() (用户或攻击者需要删除数据源中的一行)

  89. onRowInserted() (user or attacker would needto insert a row in a data source)

  90. onScroll() (用户需要滚动或攻击者使用scrollBy()函数)

  91. onSeek() (当用户在元素上执行查找操作时触发)

  92. onSelect() (用户需要选择一些文本-攻击者可以以此方式触发: window.document.execCommand(“SelectAll”); )

  93. onSelectionChange() (当用户选择文本变化时触发-攻击者可以以此方式触发: window.document.execCommand(“SelectAll”); )

  94. onSelectStart() (当用户开始选择文本时触发-攻击者可以以此方式触发: window.document.execCommand(“SelectAll”); )

  95. onStart() (在marquee 对象开始循环时触发)

  96. onStop() (当用户按下停止按钮或离开页面时触发)

  97. onStorage() (当Web Storage更新时触发)

  98. onSyncRestored() (当元素与它的时间线恢复同步时触发)

  99. onSubmit() (需要用户或攻击者提交表单)

  100. onTimeError() (用户或攻击者设置时间属性出现错误时触发)

  101. onTrackChange() (用户或攻击者改变播放列表内歌曲时触发)

  102. onUndo() (用户返回上一浏览记录页面时触发)

  103. onUnload() (用户点击任意链接或按下后退按钮或攻击者强制进行点击时触发)

  104. onURLFlip() (当一个高级流媒体格式(ASF)文件,由一个HTML+TIME(基于时间交互的多媒体扩展)媒体标签播放时,可触发在ASF文件中内嵌的攻击脚本)

  105. seekSegmentTime() (这是一个方法可以定位元素某个时间段内中的特定的点,并可以从该点播放。这个段落包含了一个重复的时间线,并包括使用AUTOREVERSE属性进行反向播放。)

转自:XSS过滤绕过速查表

雪碧可乐_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
XSS事件(一)
banji5552的博客
10-27 294
前言 ​ 最近做的一个项目因为安全审计需要,需要做安全改造。其中自然就包括XSS和CSRF漏洞安全整改。关于这两个网络安全漏洞的详细说明,可以参照我本篇博客最后的参考链接。当然,我这里并不是想写一篇安全方面的专题。我要讲的是在做了XSS漏洞修复之后引发的一系列事件。 超时 ​ 本地测试的时候随便点了些页面,然后debug跟了下代码未发现任何问题。上线之后用户反馈有的页面打不开,自己去线...
xss可用事件
weixin_33772645的博客
08-25 330
onabort onafterprint onbeforeprint onbeforeunload onblur oncanplay oncanplaythrough onchange onclick oncontextmenu ondblclick ondrag ondragend ondragenter ondragleave ondragover ondrag...
前端开源库-xss-filters
08-29
在实际应用中,当用户提交的数据需要显示在网页上时,通过xss-filters处理可以大大降低遭受XSS攻击的风险。 XSS过滤器通常包括对HTML标签、属性、JavaScript代码等内容的检查和清理。例如,它可能会移除所有script...
JS-XSS-.rar_XSS_js XSS
最新发布
09-20
综上所述,XSS攻击和跨域问题是Web开发中的重要安全考量,开发者需要理解它们的工作原理,熟练掌握各种防御和解决方案,以确保应用程序的安全性。对于前端开发者来说,理解并正确使用JSONP、CORS等技术,以及合理...
Laravel开发-laravel-xss-middleware
08-28
总结来说,`laravel-xss-middleware`是Laravel开发中一个实用的安全工具,通过自动处理用户输入,帮助开发者防止XSS攻击。了解和正确使用这样的中间件对于构建安全的Web应用至关重要,尤其是在处理用户数据和交互时...
xss-injection
04-04
标题中的"xss-injection"指的是这个安全问题的焦点,即XSS注入攻击。在这个场景中,"Bazingaa"是一个用于演示XSS漏洞利用的PHP应用。通过这个应用,开发者或者安全研究者可以模拟真实环境,学习如何防止和检测XSS...
Laravel开发-laravel-xss-filter
08-28
在Laravel框架中,开发过程中保护应用程序免受跨站脚本(XSS)攻击是非常重要的。...在“laravel-xss-filter-master”项目中,开发者可能已经封装了一些特定的过滤逻辑,以便更方便地在Laravel项目中应用这些原则。
浅析新浪微博Web蠕虫事件 XSS漏洞
weixin_33716941的博客
07-04 637
  6月28日晚间20时左右,新浪出现了一次比较大的XSS(跨站脚本)漏洞***,"中毒"的微博用户会自动向自己的粉丝发送诸如"建党大业中穿帮的地方"、"个税起征点有望提到4000"、"郭美美事件的一些未注意到的细节"、"3D肉团团高清普通话版种子"等含毒的微博与私信,并自动关注一位名为hellosamy,粉丝点击后会再次中毒,然后形成恶性循环。新浪微博蠕虫爆发仅执续了16分...
XSS大全
weixin_46601374的博客
03-01 8257
XSS的原理和特性 xss:将用户的输入当作前端代码执行 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 html:定义了网页的结构 css:美化页面 js:可以操浏览器 XSS主要拼接的是什么 SQL注入拼接的是操作数据库的SQL语句。 XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:xss就是拼接恶意的HTML) xss
XSS常见的触发标签
LYJ20010728的博客
05-06 1万+
无过滤情况 <script> <scirpt>alert("xss");</script> <img> 图片加载错误时触发 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("alert('xss')")> 鼠标指针移动到元素时触发 <img src=1 onmouseover="alert(1)"> 鼠标指针移出时触发 <img src=1 onm
XSS原理分析与解剖及反射型XSS
qq_68233961的博客
08-21 530
XSS原理分析与解剖及反射型XSS
跨站脚本攻击XSS(Cross Site Scripting)总结
野原新之助
01-31 996
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
xss妙用,快速测试xss漏洞。
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
xss漏洞简析(干货)
Haowill的博客
06-23 4953
xss漏洞 获取cookie: 指向其他url: HTML事件触发XSS:<svg onload/οnclick=“alert(document.domain);”> javascript伪协议:javascript:alert(document.domain); 列: xss漏洞介绍 跨站脚本攻击(cross site scripting),缩写xss 恶意攻击者往web页面里插入script代码,当用户浏览该页面时,嵌入到其中web页面的script代码就会执行,从而达到恶意攻击者攻击用
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
HTML事件中的XSS漏洞解析-01
"Web攻防训练营——第六节 HTML事件中的XSS-01" 在Web安全领域,跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的安全漏洞,它允许攻击者在用户的浏览器上注入恶意脚本。本节主要探讨了HTML事件中的XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值