Ich habe vor kurzem viel mit XSS und Nutzlast Erstellung beschäftigt. Im Allgemeinen gibt es beim Erstellen der Injektion zwei verschiedene Arten von XSS:Liste der XSS-Payloads mit automatischem Javascript/etc. Ausführung?
Wie Sie im Titel sehen können, bin ich auf der Suche nach einer Liste von Nutzlasten/Injektionen, die zu einer automatischen Code (js hauptsächlich) Ausführung führen. Um einige zu nennen:
<script>alert(1)</script>
<body onload="alert(1)">
<button autofocus onfocus="alert(1)">
.
.
.
Das für die Nutzlast verwendete Schema sollte eindeutig sein. (Naming anderen Elemente im Zusammenhang mit Autofokus/onfocus Attribute wie Ein- oder TextArea- wäre redundant) Die Nutzlast sollte durch mindestens einen der folgenden Browser (aktuellere Versionen) unterstützt werden:
Chrome
Firefox
Safari
IE
Suchen Sie nach Möglichkeiten, XSS-Angriffe oder eine Blacklist durchzuführen, um sie zu verhindern? Ich werde nur dem Letzteren folgen. Die Möglichkeiten sind nicht endlos, aber viele und es ist Zeit verschwendet, um eine Liste von Möglichkeiten zu finden. Es ist sicherer, sicherzustellen, dass niemand HTML direkt zu Ihrer Seite hinzufügen kann. Es sollte immer nach Ihren Standards geschrubbt und neu aufgebaut werden. – Mouser
Es ist für die Erstellung einer Hacking-Herausforderung. Ich möchte die Anzahl der Möglichkeiten eingrenzen, um die Lösung zu erschweren. Zu deinem Sicherheitshinweis: Danke, aber mir ist das bewusst! :) – Tastro