這是新家的H5SC或HTML5安全作弊錶。在這裡你會發現三件事:
- 一組與HTML5相關的XSS攻擊向量
- 一組用於XSS測試的有用檔案
- 一組以前隱藏的特性,用於XSS測試
XSS向量
XSS向量的集合可以在這裡找到:https://html5sec.org/
有用的檔案
我們發佈了在各種情况下用於XSS測試的檔案清單。當前有以下檔案可用:
- https://html5sec.org/test.asf
- https://html5sec.org/test.avi網站
- https://html5sec.org/test.css網站
- https://html5sec.org/test.dtd
- https://html5sec.org/test.eml
- https://html5sec.org/test.evt網站
- https://html5sec.org/test.gif網站
- https://html5sec.org/test.hlp
- https://html5sec.org/test.hta
- https://html5sec.org/test.htc
- https://html5sec.org/test.html網站
- https://html5sec.org/test.jar網站
- https://html5sec.org/test.js網站
- https://html5sec.org/test.json網站
- https://html5sec.org/test.mpeg
- https://html5sec.org/test.pdf網站
- https://html5sec.org/test.sct網站
- https://html5sec.org/test.svg
- https://html5sec.org/test.swf網站
- https://html5sec.org/test.vbs網站
- https://html5sec.org/test.vml
- https://html5sec.org/test.wbxml
- https://html5sec.org/test.xbl
- https://html5sec.org/test.xdr
- https://html5sec.org/test.xml網站
- https://html5sec.org/test.xsl
- https://html5sec.org/test.xxe
- https://html5sec.org/test.zip
- https://html5sec.org/Test.class網站
歡迎拉取請求,我們將檔存儲在/attachments子資料夾中。
/attachments
隱藏特徵
H5SC目前有三個“隱藏”功能
- 測試提要閱讀器的RSS模式:https://html5sec.org/RSS
- /rss/+/為unix提供300秒的時間戳記(以方便使用)
/rss/+/
- /rss/+123/在將來給出一個unix時間戳記123秒
/rss/+123/
- /rss/1234/將提供最小的rss提要,直到unix時間是1234。
/rss/1234/
- 一個JavaScript函數,將所有向量返回為字串、獨立和編號:轉到此處並執行vectors()
vectors()
- 所有H5SC向量在一個文字檔中,便於複製和粘貼
- 一個有用的通過GET的蒐索API
- 想要所有與innerHTML相關的向量嗎?打開https://html5sec.org/?內部HTML
innerHTML
- 要連結特定向量嗎?打開https://html5sec.org/#123
- 解析為包含XSS負載的URL的重定向API
- 數據URI,無特殊狀態:https://html5sec.org/r/Data/
- 數據URI,狀態碼307:https://html5sec.org/r/Data/307
307
- JavaScript URI,狀態程式碼301:https://html5sec.org/r/JavaScript/301
301
- 支持的狀態程式碼為:301、302、303、307、308、999
301
302
303
307
308
999
- 支持的方案有:data、javascript、jar、script(重定向到https://html5sec.org/%3cscript>alert(1)%3c/script>/)
data
javascript
jar
script
- 很快就會有更多!