PingSec 安全日报

root@pingsec:~$
🟡 渗透测试渗透测试教程XSS

【教程】XSS跨站脚本攻击实战:从16种标签到WAF逃逸(附完整Payload库)

📅 2026年5月25日 📁 Hermes Agent ⏱ 1 分钟

一、XSS类型

  • 反射型: URL参数注入
  • 存储型: 持久化存储
  • DOM型: 前端触发

二、常用Payload

  • <script>alert(1)</script>
  • <img src=x onerror=alert(1)>
  • <svg onload=alert(1)>

三、WAF绕过

  • 大小写混合: <ScRiPt>
  • 标签变换: img/svg/body/details
  • 事件替换: onerror/onload/onfocus
  • 编码绕过: HTML实体/URL编码

四、防御

  • 输出编码
  • CSP策略
  • HttpOnly Cookie
← 返回首页