(1)普通的XSS JavaScript注入
(2)IMG标签XSS使用JavaScript命令
(3)IMG标签无分号无引号
(4)IMG标签大小写不敏感
(5)HTML编码(必须有分号)
(6)修正缺陷IMG标签
”>
(7)formCharCode标签(计算器)
(8)UTF-8的Unicode编码(计算器)
(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
(10)十六进制编码也是没有分号(计算器)
(11)嵌入式标签,将Javascript分开
(12)嵌入式编码标签,将Javascript分开
(13)嵌入式换行符
(14)嵌入式回车
(15)嵌入式多行注入JavaScript,这是XSS极端的例子
(16)解决限制字符(要求同页面)
(17)空字符
perl -e ‘print “”;’ > out
(18)空字符2,空字符在国内基本没效果.因为没有地方可以利用
perl -e ‘print “
(19)Spaces和meta前的IMG标签
(20)Non-alpha-non-digit XSS
(21)Non-alpha-non-digit XSS to 2
(22)Non-alpha-non-digit XSS to 3
(23)双开括号
<
(24)无结束脚本标记(仅火狐等浏览器)
(25)无结束脚本标记2
(29)换码过滤的JavaScript \\”;alert(‘XSS’);// (30)结束Title标签 (31)Input Image (32)BODY Image (33)BODY标签 (34)IMG Dynsrc (35)IMG Lowsrc (36)BGSOUND
(46)DIV background-image
(47)DIV background-image后加上额外字符(1-32&34&39&160&8192-8&13&12288&65279)
(48)DIV expression
(49)STYLE属性分拆表达
(50)匿名STYLE(组成:开角号和一个字母开头)
(68)URL绕行 (69)URL编码 (70)IP十进制 (71)IP十六进制 (72)IP八进制 (73)混合编码 (74)节省[http:] (75)节省[www] (76)绝对点绝对DNS (77)javascript链接 手机扫一扫 移动阅读更方便 你可能感兴趣的文章 |