命令行 / 图形化 工具
绕过服务器端输入筛选
10进制 / 16进制
unescape()
xsser -u "http://1.1.1.1/dvwa/vulnerabilities/" -g "xss_r/?name=" --cookie="XXXXXX" -s -v --reverse-check
–heurisitic 检查被过滤的字符
–Srt 字符串编码
–Une 使用Unescape()编码
–Mix 上述两个一起用
–Dec 十进制编码
–Hex 十六进制编码
–Hes
–Dwo
–Doo --对ip地址编码
–Cem=CEM 进行多种编码
–Coo 向cookie注入
–Xsa 向agent进行注入
–Xsr 对http头referer进行注入
–Dcp 对数据控制协议注入
–Dom 对DOM进行注入
–lnd 对http响应发现注入点
–Anchor 使用anchor状态注入
–Phpids 基于PHP的框架0.6.5的注入
–Doss 拒绝服务注入
–Dos 对客户端拒绝服务注入
–B64 base64编码
–Onm 移动鼠标进行执行
–Ifr 插入框架