77种网站XSS跨站攻击脚本语法脚本安全 -电脑资料

    XSS又叫CSS (Cross-Site Script) ,跨站脚本攻击，

77种网站XSS跨站攻击脚本语法脚本安全

    当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

    XSS分两类:

    一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。

    另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。

    如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开

    (1)普通的XSS JavaScript注入

    (2)IMG标签XSS使用JavaScript命令

    (3)IMG标签无分号无引号

    (4)IMG标签大小写不敏感

    (5)HTML编码(必须有分号)

    (6)修正缺陷IMG标签

    ”>

    (7)formCharCode标签(计算器)

    (8)UTF-8的Unicode编码(计算器)

    (9)7位的UTF-8的Unicode编码是没有分号的(计算器)

    (10)十六进制编码也是没有分号(计算器)

    (11)嵌入式标签,将Javascript分开

    (12)嵌入式编码标签,将Javascript分开

    (13)嵌入式换行符

    ’);”>

    (14)嵌入式回车

    (15)嵌入式多行注入JavaScript,这是XSS极端的例子

    (16)解决限制字符(要求同页面)

    (17)空字符

    perl -e ‘print “”;’ > out

    (18)空字符2,空字符在国内基本没效果.因为没有地方可以利用

    perl -e ‘print “alert(\”XSS\”)”;’ > out

    (19)Spaces和meta前的IMG标签

    (20)Non-alpha-non-digit XSS

    (21)Non-alpha-non-digit XSS to 2

    (22)Non-alpha-non-digit XSS to 3

    (23)双开括号

    <

    (24)无结束脚本标记(仅火狐等浏览器)

    (29)换码过滤的JavaScript

    [code]\”;alert(‘XSS’);//

    (30)结束Title标签

    (31)Input Image

    (32)BODY Image

    (33)BODY标签

    (34)IMG Dynsrc

    (35)IMG Lowsrc

    (36)BGSOUND

    (37)STYLE. sheet

    (38)远程样式表

    (39)List-style-image(列表式)