XSS挑战

夜思红尘

已于 2023-06-18 14:14:12 修改

阅读量473

点赞数 1

分类专栏：网络安全文章标签： xss 前端网络安全

于 2023-06-18 14:13:17 首次发布

本文链接：https://blog.youkuaiyun.com/p3232734559/article/details/131270691

版权

本文是一篇关于XSS实战挑战的教程，详细介绍了从level1到level9的解题过程，包括常见的代码注入、HTML实体编码、事件注入、大小写绕过等方法。通过这些练习，读者可以深入理解XSS攻击与防御策略。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言：这里是有关于xss靶场的练习，是一个很常见的靶场，链接放在下面。你们也可以去下载源码使用小皮去搭建，下面开始我们的练习！

链接

欢迎来到XSS挑战https://xssaq.com/yx/

level1

这里我们的输入点在url上，直接使用常见代码注入

<script>alert(1)</script>

level2

直接使用代码注入，发现失败

使用F12查看元素

发现我们的代码给value包住了，那么我们使用

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

夜思红尘

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

xss-labs通关挑战（xss challenge）

RuoLi_s的博客

01-16

2228

XSS-labs通关挑战（xss challenge） 0x00 xss-labs 最近在看xss，今天也就来做一下xss-labs通过挑战。找了好久的源码，终于被我给找到了，因为在GitHub上大家也知道那个下载速度，所以，我也就直接转接到自己的码云上去了，在这也贴出来，欢迎大家下载使用。源码链接请点击：https://gitee.com/ruoli-s/xss-labs 安装没啥好说的，直接放进自己搭建好的www目录下，就可以开始闯关了，xss-labs一共有level 20，做着看吧。

xss-challenge(挑战之旅1~13)

weixin_55404107的博客

10-21

410

好。

参与评论您还未登录，请先登录后发表或查看评论

xss挑战（超详细小白）

weixin_64655821的博客

09-22

1484

xss挑战前十关

靶场通关-XSS挑战之旅（1-5）

m0_56634355的博客

06-04

1589

直接使用在线靶场网址：https://xss.angelo.org.cn本地搭建xss靶场，这个简单百度吧点击图片后，进入下图：我们可以看到用于js弹窗的代码顺利执行了看看源码，分析一下接下来去服务器端看看这一关的源码......

XSS挑战之旅1-10关

weixin_52116519的博客

11-15

1625

XSS漏洞介绍。

xss挑战心得（简单易懂）

xtx4506的博客

03-09

1989

作为一个呢刚刚学习web渗透的小菜鸟，一开始也是在老师的带领下接触到了xss挑战，个人感觉是很经典的题目嗷，以后就会在这里进行再学习了，这两天挑战也是记录了不少，所以希望可以记录下来，菜鸟的自我记录，大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...

网络安全XSS挑战笔记：从基础到实战的跨站脚本攻击绕过技巧与编码解析

最新发布

04-20

内容概要：本文档是作者在参与XSS挑战过程中总结的经验和技巧。文档首先介绍了XSS的基础知识，包括HTML和JavaScript编码的区别及其在不同场景下的应用，以及浏览器解析代码的顺序。接着详细描述了从第一关到第十九关...

xss挑战

03-17

用户想了解XSS挑战赛和防御练习，我需要给出参与途径、练习平台、实战方法、防御技巧等。接下来，我需要整理常见的XSS挑战平台，比如XSS游戏、CTF题目、在线实验室。例如，提到Google的XSS游戏（虽然可能已下线）...

【XSS漏洞05】XSS通关大挑战

Fighting_hawk的博客

02-25

4330

1. 通过测试语句执行情况、网页源码： 1. 判断大小于号是否过滤与转义； 2. 判断单双引号是否过滤与转义； 3. 判断关键字是否过滤与转义； 4. 判断大小写是否转化； 5. 判断语句闭合方式。 6. 额外地，可以分析是否存在其他注入点。 2. 根据判断结果，灵活构造语句与利用绕过规则。...

网络渗透知识

weixin_67611296的博客

04-07

4016

1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T（0-6档）设置扫描的速度一般设置T4 过快容易被发现-v 显示信息的级别，-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 192.168...

XSS20关练习源码

09-04

包含20关XSS练习的源码。文件都为PHP类型，下载个phpstudy就可以搭建起来了。我已经通过了，所以共享出来给大家练习。

【漏洞学习笔记1】XSS

weixin_45515936的博客

03-30

1246

【漏洞学习笔记1】XSS 跨站脚本攻击（Cross Site Scripting）一、练习平台（1）：https://xssaq.com/yx/ 对应：https://www.cnblogs.com/bmjoker/p/9446472.html (在线网站练习本地无下载资源没有js代码，参考文章中的js源代码) （2）：XSS Chanllenges：http://xss-quiz.int21h.jp/ 对应：https://blog.youkuaiyun.com/taozijun/article/details/

网络安全学习笔记——盗取Cookies跨站脚本（XSS）

just do it

07-24

2347

使用替换过了的URL发给目标，诱导目标点击，然后目标的cookies就会回弹到XSS攻击平台上，展开就可以看到该目标的PHPSESSID，然后在自己的同源网站上，笔记本按Fn+F12，调出Hackerbar，点击存储，然后把PHPSESSID换成攻击之后得到的，删掉浏览框里面多余的东西，剩下XXX.php即可，刷新之后就会登录该目标的账号——，SESSID——中间键，是Apache分配的，唯一的“身份证”，从SESSID入手，就可以查取用户的相关信息。

XSS-窃取Cookie和Flash攻击钓⻥

weixin_53736204的博客

07-23

551

步骤⼀：在以下⽹站注册账号并登陆，点击"创建项⽬"并填写项⽬名称…⽴即提交步骤⼆：在我的项⽬中选择我们刚创建的项⽬步骤三：点击右上⻆的查看配置代码步骤四：复制script这⼀条代码步骤五：打开⼀个pikachu平台 xss盲打并将我们刚才复制的script恶意代码输⼊进去步骤六：模拟管理员登录后台的操作登录完成后触发我们插⼊的恶意代码用户名：admin 123456步骤七：此时回到平台上可看到其劫持的Cookie信息.点击查看可以查看到其中的cookie字段。

【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏（非常详细）零基础入门到精通，收藏这一篇就够了5

Libra1313的博客

06-27

1224

这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段XSS第5篇。本阶段主要讲解XSS漏洞检测、利用和防御机制。

Web安全攻防渗透测试

m0_63223219的博客

04-05

7225

1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T（0-6档）设置扫描的速度一般设置T4 过快容易被发现 -v 显示信息的级别，-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...

XSS另类攻击(二)表单劫持-获取账号信息

05-21

1091

XSS另类攻击(二)表单劫持-获取账号信息,XSS在线平台方式和自己实现方式，分析二者的优缺点。

XSS攻击平台，攻击pikachu

ineedmoreMuQ的博客

07-23

339

XSS攻击平台，攻击pikachu

XSS平台获取管理员cookie

2401_86440467的博客

08-09

307

接着来到后台登录(路径为pikachu/vul/xss/xssblind/admin_login.php)来到可以进行XSS注入的地方(演示使用pikachu的xss盲打靶场)，粘贴提交。进入XSS平台：xssaq.com，点击创建项目创建一个新项目。回到平台刷新查看，发现记录，点击查看，能够看到cookie。来到我的项目，查看配置代码，将第二条复制。获取cookie完成，欢迎指出错误与讨论。可以看到刚才留言成功。