脚本攻击大全xss
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
-/articles/hacker/base/2011/0401/13846.html
xss跨站脚本攻击大全
(1)普通的XSS JavaScript注入 SCRIPT SRC=/XSS/xss.js/SCRIPT (2)IMG标签XSS使用JavaScript命令 SCRIPT SRC=/XSS/xss.js/SCRIPT (3)IMG标签无分号无引号 IMG SRC=javascript:alert(XSS) (4)IMG标签大小写不敏感 IMG SRC=JaVaScRiP
(1)普通的XSS JavaScript注入
(2)IMG标签XSS使用JavaScript命令
(3)IMG标签无分号无引号
(4)IMG标签大小写不敏感
(5)HTML编码(必须有分号)
(6)修正缺陷IMG标签
”>
(7)formCharCode标签(计算器)
(8)UTF-8的Unicode编码(计算器)
(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
(10)十六进制编码也是没有分号(计算器)
(11)嵌入式标签,将Javascript分开
(12)嵌入式编码标签,将Javascript分开
(13)嵌入式换行符
(14)嵌入式回车
(15)嵌入式多行注入JavaScript,这是XSS极端的例子
(16)解决限制字符(要求同页面)
(17)空字符
perl -e ‘print “”;’ > out (18)空字符2,空字符在国内基本没效果.因为没有地方可以利用perl -e ‘print “
(20)Non-alpha-non-digit XSS
(21)Non-alpha-non-digit XSS to 2
(22)Non-alpha-non-digit XSS to 3(23)双开括号
<
(24)无结束脚本标记(仅火狐等浏览器)
(29)换码过滤的JavaScript
\”;alert(‘XSS’);//
(30)结束Title标签