pikache靶场通关——XSS漏洞

最新推荐文章于 2024-11-03 22:17:46 发布
最新推荐文章于 2024-11-03 22:17:46 发布
阅读量427 收藏 8
点赞数 5
文章标签: xss 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78031880/article/details/141436072
版权

1.反射性xxs(get)

(1)首先输入“进行尝试

(2)输入js代码发现长度不够 使用f12修改字符长度

(3)输入js代码

2.反射性xxs(post)

(1)先用系统给的账号密码进行登录看看

(2)输入获取cookie的js语句

<script>alert(document.cookie)</script>

3.存储型xxs

(1)输入获取cookie的js语句

<script>alert(1)</script>

4.DOM型XSS

(1)输入js代码<script>alert(document.cookie)</script>

(2)查看源代码

(3)发现被包裹在a标签里面了,难怪不起作用,这稍微构造以下payload吧

#' οnclick="alert(1)">

5DOM型XSS-S

#' οnclick="alert(1)">

6xxs盲打

(1)输入<script>alert(1)</script>,1

发现页面没反应

(2)查看提示有后台登录地址,密码前面提过,登录会弹出框

7XSS之过滤

(1)<script>alert(1)</script>输个js语句看看

(2)f12查看页面源代码

(3)把URL中的payload部分字母变成大写

(4)发现错误,换个标签试试

<a herf="#" οnclick="alert(1)">

8.XSS之htmlspecialchars

(1)输入<script>alert(1)</script>

(2)f12查看页面源代码

(3)改造下语句

#' οnclick='alert(1)'>

9XSS之href输出

(1)输入<script>alert(1)</script>

(2)发现这里<>被编码了,这样子哪怕是把a标签给闭合也不可能实现,那就只好使用函数了,因为JavaScript里面的a标签中的href属性是可以直接使用函数的。输入javascript:alert(1)

10.XSS之js输出

(1)输入<script>alert(1)</script>

(2)f12查看页面源代码

(3)发现我输入的payload到了script标签上来了,顺便还把script标签给闭合了,所以才会出现这一串乱七八糟的东西使用新的语句

';alert("cookie值是:"+1); //

谪仙123
关注
34-3 SSRF漏洞 - ssrf业务场景及挖掘
weixin_43263566的博客
04-07 311
攻击者可能会通过分析应用程序中的URL关键字(如share、wap、url、link、src、source、target、sourceURI、imageURL、domain等)来发现潜在的SSRF漏洞。:当应用程序提供转码服务,例如手机适配服务时,攻击者可能会通过构造特定的URL来触发SSRF漏洞,从而执行未授权的访问或攻击内部系统。使用pikachu靶场
pikachu靶场xss通关教程)
记录学习
05-11 1918
pikachu靶场通关xss
网络安全进阶学习第二课——XSS跨站脚本攻击
p36273的博客
06-17 2124
首先了解什么是前端。前端从定义上来讲是指一个网站的前台部分,是展示给用户看的部分。它不需要关注任何业务之间的逻辑处理,只需要安安静静地做好自己,老老实实的把自己最美的一面展示给用户。Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。无论何时用户链接到服务器,Web 站点都可以访问 Cookie 信息。Cookie 是临时的或者是持续的。
pikachu靶场中的CSRF、SSRF通关
qq_68163788的博客
05-26 2131
Pikachu靶场中,CSRF(Cross-Site Request Forgery)和SSRF(Server-Side Request Forgery)是两种常见的Web安全漏洞。CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作,通过伪装请求来执行恶意操作,例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求,可能导致访问内部系统、绕过防火墙或执行其他恶意操作。
网络安全进阶学习第三课——CSRF跨站请求伪造
p36273的博客
07-01 1653
漏洞风险存在;伪装数据操作请求的恶意链接或者页面;诱使用户主动访问或登录恶意链接,触发非法操作;
Pikachu靶场全关攻略(超详细!)
热门推荐
xf555er的博客
12-03 1万+
靶场文件夹放到phpstudy的www目录 进入pikach文件夹的inc目录,修改靶场配置文件,设置数据库账号密码均为 启动phpstudy后访问本机ip目录下的install.php文件,进行安装初始化 这种属于无验证码的情况,可直接抓包暴力破解 这种将验证码的生成代码写在前端上是十分容易绕过的 验证码输入错误的情况下是不能抓包的,需先输入正确的验证码再抓包 然后再将数据包发送到爆破功能处,并且将验证码参数去除掉后再进行爆破 有些服务器后台是不刷新验证码的,所以抓到包后不要放包,这样验证码就一直
pikachu通关教程(CSRF)
Bu2n的博客
12-08 1451
CSRF(get)CSRF(post)CSRF Token CSRF(get) 登录vince的账号 修改手机号 抓包看到是个get请求 打开一个新网页,利用上面的参数,构造一个url,这里我把手机号改为120(这里是模拟钓鱼网站跳转到恶意的url) 手机号修改成功 CSRF(post) 登录vince账号,尝试修改信息,抓包,发现是post请求 这下就不能直接用url跳转进行CSRF攻击了,得伪造一个表单页面,让用户去访问。 表单代码如下 js代码意思是当页面加载完毕,自动点击提交按钮,.
pikachu靶场搭建以及搭建问题
weixin_51334923的博客
10-20 9650
前言 pikachu是一个适合Web渗透测试学习的小白们进行训练的本地靶场,并且已经在github上开源了。 它是一个综合性的靶场: 非常适合新手练习,接下来就简单的看一下它如何在Windows上搭建吧!!! Apache与MySQL环境搭建 然后这边推荐用phpstudy_pro进行Apache以及mysql的环境搭建。 就以Windows系统来进行安装教学,可以省去很多繁琐的步骤!! 小皮面板(phpstudy) - 让天下没有难配的服务器环境! (xp.cn) 打开官网,点击下载,
皮卡丘--sql注入
renyizou的博客
06-21 616
概述: 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一家公司破产! SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。 在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞: 1.对传进SQL语句里面的
在Windows2008 server r2上部署DVWA
weixin_52177486的博客
02-04 478
在Windows2008 server上部署靶场dvwa
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍02绕过
最新发布
soc的博客
11-03 830
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
XSS-libs
2303_77961060的博客
10-30 481
alert(1)
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞
huanghm88的专栏
10-31 1079
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,以下是对它的详细介绍:&"'
XSS小游戏【1-13关】
XiaoYeZhu_1314的博客
10-30 533
第一关 Payload:<script>alert(1)</script> 第二关 Payload:keyword=<script>alert(1)</script> 发现没有成功,F12发现需要闭合input 标签 再次输入payload:aaa"><svg onload=alert(1)> //当这个输入被插入到网页中时,浏览器会将其解析为HTML代码,并执行其中的JavaScript代码 第三
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍01
soc的博客
11-03 636
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
-XSS-
qq_75005708的博客
10-30 417
链接搭建过程非常容易的搭建好之后,就可以点击图片开始闯关了。
深入解析哈尔滨二级等保下的XSS跨站脚本攻击及其防御策略
weixin_62641226的博客
11-01 477
XSS跨站脚本攻击是一种严重的网络安全威胁,尤其在信息系统安全等级保护的背景下,防范此类攻击显得尤为重要。通过对输入进行严格验证、输出进行编码、使用安全标志、实施内容安全策略以及定期进行安全审计等措施,可以有效降低XSS攻击的风险。同时,提升用户的安全意识也是防范攻击的重要环节。只有综合运用多种防御策略,才能在复杂的网络环境中保障信息系统的安全
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 1031
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值