scirpt标签用于定义客户端脚本，比如JavaScript <script>alert(1);</script> <script>alert("xss");</script> img标签定义HTML页面中的图像 src ...

目录 标签、事件、属性 HTML代码注入 script标签 a标签 img标签 + onerror(都是通过event来调用js) ...

payload-有效载荷：<script>alert(1)</script> #最普通的xss<script>alert(document.cookie)</script> #获取cookie<a href ...

日期：2019-05-15 14:06:21 作者：Bay0net 介绍：收集并且可用的一些 XSS payload，网上的速查表很多，但是测试了下很多 payload 的不可用，这里都是自己能用的 0x01、 基本流程 先使用无害的标签进行测试，比如<b> ...

什么是XSS？ XSS全称是Cross Site Scripting即跨站脚本，当目标网站目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了。 最直接的例子：<script>alert(1)</script> XSS ...

几种加载XSS Payload的不常见标签 众所周知，一种调用JavaScript的方法就是在元素类型上使用事件处理器（Event Handler），通常的一种方法类似： 这是一种使用无效src属性来触发 onerror 事件处理器(onerror event handler ...

什么是 XSS Payload 上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理，并举了一些浅显的例子，接下来，我就阐述什么叫做 XSS Payload 以及从攻击者的角度来初探 XSS 攻击的威力。 在黑客 XSS 攻击成功之后，攻击者能够对用户当前浏览的页面植入各种恶意脚本 ...