dr34mhacks/XSSNow

GitHub: dr34mhacks/XSSNow

一个按注入上下文和防御场景智能分类的 XSS Payload 知识库，帮助安全研究人员快速找到真实有效的跨站脚本攻击载荷。

Stars: 142 | Forks: 45

# 🥷 XSSNow - 终极 XSS 军火库

![XSSNow Logo](/assets/xss_now_logo.png) [![在线演示](https://img.shields.io/badge/🌐_Live_Demo-xssnow.in-00d4aa?style=for-the-badge)](https://xssnow.in) [![许可证: MIT](https://img.shields.io/badge/License-MIT-yellow.svg?style=for-the-badge)](https://opensource.org/licenses/MIT) [![欢迎贡献](https://img.shields.io/badge/contributions-welcome-brightgreen.svg?style=for-the-badge)](CONTRIBUTING.md) XSSNow 是一个社区驱动的、经过精心整理的跨站脚本攻击 (XSS) Payload 知识库，旨在帮助安全研究人员、Bug Bounty 猎人和学习者快速找到适用于不同 XSS 场景的相关、真实世界的 Payload。

## 🎯 **我们要解决的问题** 跨站脚本攻击 (XSS) 漏洞仍然是现代 Web 应用程序中最普遍的安全威胁之一。安全研究人员、渗透测试人员和 Bug Bounty 猎人面临着持续的挑战： - **知识零散** - XSS Payload 散落在博客、论坛和个人笔记中 - **上下文混淆** - 不知道哪种 Payload 适用于特定的注入上下文 - **防御演进** - 现代 WAF 和过滤器需要日益复杂的绕过技术 - **学习曲线** - 初学者很难理解为什么某些 Payload 有效而其他的无效 - **时间压力** - 安全测试需要快速访问相关的、有效的 Payload ## 🚀 **我们的解决方案** XSSNow 将混乱的 XSS 利用格局转化为一个结构化、智能化的军火库。我们构建的不仅仅是一个 Payload 数据库——我们创建了一个理解上下文、随防御技术演进并加速发现的生态系统。 ### 🧠 **智能 Payload 组织** - **上下文感知分类** - Payload 按注入上下文组织，而不仅仅是语法 - **防御导向分组** - 针对 WAF 绕过、编码规避和过滤器旁路的特定集合 - **难度分级** - 从适合初学者的基础内容到专家级的 Polyglot - **真实世界测试** - 每个 Payload 都经过实际应用程序和防御机制的验证 ### ⚡ **高级 Payload 生成** - **智能上下文检测** - 理解您的注入点在应用程序流程中的位置 - **限制感知建议** - 适应字符限制、编码约束和输入过滤器 - **特定 WAF 优化** - 针对主要防火墙供应商的定制绕过技术 - **自定义长度优化** - 在严格的字符限制内生成 Payload ### 🛡️ **现代防御意识** - **CSP 绕过技术** - 自信地应对内容安全策略 (CSP) 限制 - **编码规避** - 突破 HTML 实体编码、URL 编码和自定义清理器 - **过滤器旁路** - 绕过关键字黑名单和正则过滤器的验证方法 - **浏览器特性** - 利用现代浏览器引擎之间的解析器差异 ## 🔥 **XSSNow 的独特之处** | 传统方法 | XSSNow 优势 | |---------------------|------------------| | 静态 Payload 列表 | 动态、上下文感知的生成 | | 通用集合 | 防御特定的分类 | | 复制粘贴思维 | 教育性理解 | | 过时技术 | 实时有效性追踪 | | 孤立研究 | 社区驱动的验证 | ### 🌐 **即时访问** 访问 [xssnow.in](https://xssnow.in) 并立即开始探索。无需安装。 ## 📋 **Payload 分类** ### 🎯 **基于上下文的分类** - **HTML 注入** - 直接标记插入和标签操作 - **属性破坏** - 从 HTML 属性和事件处理程序中逃逸 - **JavaScript 上下文** - JS 内部的字符串破坏和代码执行 - **CSS 注入** - 基于样式的攻击和表达式利用 - **URL 参数** - 基于查询字符串和片段的向量 ### 🛡️ **防御导向集合** - **WAF 绕过** - 针对主要防火墙供应商的技术 - **编码规避** - 字符集操作和混淆 - **过滤器旁路** - 关键字黑名单和正则绕过 - **CSP 违规** - 内容安全策略逃逸技术 - **Polyglot 攻击** - 多上下文通用 Payload ## 🤝 **加入这场革命** XSSNow 的繁荣离不开社区协作。无论您是在发现新的绕过技术、改进现有 Payload，还是分享知识——您的贡献都在推动平台向前发展。 ### 💡 **贡献方式** - **提交 Payload** - 分享您的最新发现和绕过技术 - **改进文档** - 帮助他人理解复杂的攻击向量 - **测试有效性** - 针对真实世界的应用程序验证 Payload - **分享知识** - 撰写教程和教育内容 - **报告问题** - 帮助我们维护平台质量 [**→ 阅读我们的贡献指南**](CONTRIBUTING.md) ## ⚠️ **负责任的安全研究** 请勿在您不拥有或未获得明确测试许可的系统上使用这些 Payload。 ## 📄 **许可证** 根据 MIT 许可证授权——在保持负责任使用标准的同时，赋能开放的安全研究。

**由 [Sid Joshi](https://www.linkedin.com/in/sid-j0shi/) ([@dr34mhacks](https://github.com/dr34mhacks)) 用 ❤️ 构建** *如果 XSS 曾帮过您一次，XSSNow 将随时为您提供帮助。* 🛡️ [![访问 XSSNow](https://img.shields.io/badge/Visit-xssnow.in-00d4aa?style=for-the-badge)](https://xssnow.in) [![在 GitHub 上标星](https://img.shields.io/github/stars/dr34mhacks/XSSNow?style=for-the-badge)](https://github.com/dr34mhacks/XSSNow)

标签：Bug Bounty, CISA项目, CMS安全, JavaScript, Payload, Ruby, WAF绕过, Web安全, Windows内核, XSS, 代码生成, 可自定义解析器, 多模态安全, 数据可视化, 数据展示, 注入攻击, 渗透测试工具, 漏洞情报, 白帽子, 知识库, 红队, 编码绕过, 网络安全, 自定义脚本, 蓝队分析, 跨站脚本攻击, 隐私保护