对一次xss闯关的体会

最新推荐文章于 2025-05-17 20:44:18 发布
最新推荐文章于 2025-05-17 20:44:18 发布
阅读量299 收藏
点赞数
博客提供了两个参考链接,分别为https://xz.aliyun.com/t/1206和https://www.cnblogs.com/r00tuser/p/7407459.html,并表明侵删。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

     在input标签中,没有任何过滤,闭合掉引号或者双引号,可以直接引用弹窗onclick=alert(1), <script>alert(1)</script>等直接弹窗。
     当在input中过滤了>,可以用%0a直接闭合input标签(onclick=alert(1)%0a),与第一个相似;或者用事件标签oninput=alert(1),onchange=alert`1`第一个为输入框填入东西触发,后者为在鼠标移出输入框后触发
     当on事件或者script被过滤时,可以闭合标签使用<a href="javascript:alert(/1/)">axxx</a>创建一个a标签用JavaScript绕过;当script等关键字置换为空时,可以双写绕过如sscriptcript替换为script,过滤javascript关键字,会把javascript变成javasc_ript,可以用tab制表符绕过(%09)
 javasc%09ript:alert(1)
     不在input里时,过滤空格,script,/,可使用%0d %0a做分割符,用img选定一个不存在的链接,用onerror触发<img%0Dsrc=1%0Dalert(1)>

参考链接:
https://xz.aliyun.com/t/1206
https://www.cnblogs.com/r00tuser/p/7407459.html
侵删

cxk331
关注
xss-labs 通关教程
SkyWT 的博客
07-05 2304
XSS 攻击历久弥新,目前 XSS 漏洞依然广泛存在。其核心在于找到注入点并通过 payload 让浏览器执行 js 代码。注入点不仅可以来源于用户提供的文本(请求参数或后端存储的字段),也可以是 Referer、UA、Cookie 等。通过<script>标签。通过元素的 onmouseover 属性。通过<img>的 onerror 属性,如。通过 URI,如。一般来说,使用 PHP 的函数能够防御很大一部分 XSS(注意过滤单引号)。许多字符过滤上的漏洞都是没有使用。
BUUCTF[第二章Web进阶]XSS闯关教程
DMXA的博客
11-01 959
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意代码连同正常信息一起注入帖子的内容中。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。存储型XSS又称为持久型XSS,攻击脚本将被永久的放在目标服务器的数据库或文件中,具有很高的隐蔽性。DOM型XSS其实是一种特殊的反射型XSS,它基于DOM文档对象模型的一种漏洞。(3)DOM型XSS
一次真实的XXS攻击
目尽地平线
11-11 6256
这是一个真实的事,一家比较大的公司举办的一个全国性的投票,然而,页面确实写得很烂,做假太容易。
XSS靶场通关详解
最新发布
2401_87551095的博客
05-17 887
查看源代码,发现get传参name的值test插入了html里头没有输入框,在url里测试xss
XSS靶场过关
m0_51581045的博客
03-27 5373
忘记把以前XSS靶场的笔记贴上来了,今天补一下
XSS靶场通关
ANYOUZHEN的博客
05-20 1971
leve1 反射型xss,将name后面的值test改为 <script>alert('xss')</script> level2 查看后端代码 得先将前面闭合 ,并且用//将后面的代码注释掉 左边的">去闭合原先的",右边的//去注释原先的"> "><script>alert('xss')</script>// level3 输入test进行尝试,发现没有成功,观察后端代码 猜测服务器端在这两处都用
11.11科协作业 xss心得体会
ryhNB的博客
11-11 283
xss题目心得
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.youkuaiyun.com/md?articleId=104496122 欢迎各位小伙伴下载
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
04-27
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
经历一次真实XSS跨站攻击以及应付之策
无界编程
04-21 3866
这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。1.前端网站某处存在用户评论输入,黑客再此输出跨站脚本,下面的是从数据库查出来的2.后台管理人员如果浏览到这条数据就会触发这个js,这个js会跳转到真实的地址然后执行js这里只选择一部分从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来,然后黑客就可以冒充管理人员
xss靶场过关(1-10)
weixin_62884797的博客
03-09 504
首先,我们要了解什么的xss漏洞, xss,通俗的来讲,就是在HTML页面中,插入一些语句,使得后台能够运行我们插入进去的语句,从而攻击别人 第一关,这一关最为简单,只是去寻找最简单的交互点。 第一个交互点那当然是URL中了。 首先,我们要如何插入进去这条语句。要知道在h5中,绝大多数都是闭合的,也就是一对尖括号。但我们要是在插入点中输入一个">,这样就会使得程序认为已经闭合,后面的便在执行。 我们这时在插入一个js弹窗,便成功的攻击成功。 第二关 第二关这里,多出来一个输入框,这
XSSlabs过关详细教程
nextlubricate的博客
07-23 1665
xsslabs下载:点击这里,提取码:lzan 安装方法:放在phpstudy的www目录下即可 level1 URL的test,与图片的test相对应,当改为1时,图片也会相应更改,可以通过这个地方形成跨站xss 写入xss语句<script>alert(1)</script> level2 这里test与第一关一样更图片相对应,但插入xss没有弹窗 查看元素右键编辑发现插入的xss被转义了! 查看源代码造成转义的原因,发现这里用到了一个htmlspecialchars函数
xss-lab 1-10关过关记录
2302_79590880的博客
04-01 1252
xss-labs靶场1-10关通过记录
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程
热门推荐
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
XSS闯关小游戏
weixin_42728957的博客
12-07 3748
最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 我这里使用本地搭建,方便分析代码,安装好的页面如下: level1 登录页面: 查看代码 <?php ini_set("display_errors", 0); $str = $_GET["name"]; ech
xss-labs靶场通关
m0_70349048的博客
02-27 1512
我们发现,当我们更改name等于不同的值时,有不同的返回结果,因此在这里可能有xss漏洞然后直接进行测试,在name后面加入xss攻击语句。
XSS攻击游戏通关
怡帆的博客
06-12 705
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。在本文,根据代码分析及payload构造,实现XSS注入练习
XSS闯关挑战实战技巧与防御策略
XSS闯关挑战 XSS(Cross-site Scripting,跨站脚本攻击)是一种常见的网络攻击技术,它利用网站的漏洞,允许攻击者在用户浏览网页时,向网页中注入恶意的HTML或JavaScript代码。当其他用户浏览这个被修改过的页面时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值