Xss练习(level1-10)

本文为学习笔记,仅限学习交流
不得利用、从事危害国家或人民安全、荣誉和利益等活动

Xss练习
找输入点,输出点,能往页面上写东西,写的东西可以反馈出来。
例如:搜索框 “ ”双引号包裹,会被网页源代码 当作普通的字符串。
不是代码执行
尖括号成对出现,闭合<>
(Xss防护:就是把有危险的词组屏蔽掉)

level1
找输入点:在url里面可以看到name=test,只需构造一个基本的语句,
执行该语句即name=
在这里插入图片描述

Level2
查看网页源代码,根据显示信息,构造语句

在这里插入图片描述
在这里插入图片描述

输出到页面的尖括号被编码了,所以没有被执行,所以要构造新的payload的了。
”>”这里就是先把input内的双引号和尖括号闭合,
然后再写我们自己的payload尝试一下

在这里插入图片描述

Level3
在这里插入图片描述
在这里插入图片描述
从源码中看到尖括号被编码了,不能闭合input标签,我们尝试用xss的事件模式去进行攻击,
这里我们把input标签构造成这样<input name=keyword value=’’οnclick=’alert(1)’>
试一下 (onclick是点击触发)
在这里插入图片描述
Level4

在这里插入图片描述
在这里插入图片描述

Level5
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
构造一种新的模式叫做添加伪协议链接 : ">
Html a 代表超链接
Href 属性,执行javascript:alert(1)
= 赋值
在这里插入图片描述

Level6
在这里插入图片描述
在这里插入图片描述
可能是设置了词组过滤,尝试用大小字母混搭
“>
在这里插入图片描述
Level7
在这里插入图片描述
在这里插入图片描述
运用双写的方法 将被过滤的词组进行双写
在这里插入图片描述
Level8
在这里插入图片描述
在这里插入图片描述
HTML实体编码
通过HTML字符实体转换r,i得出:javascript:alert(1)
在这里插入图片描述
Level9
在这里插入图片描述
在这里插入图片描述
链接不合法,这个不合法说的应该是我们的链接里面没有标准格式,
就是没有“http://”所以我们在伪协议后面加入构造为“javascript:alert(1)//http://”
在这里插入图片描述
Level10
在这里插入图片描述
在这里插入图片描述
input的标签被定义成了hidden,意思是被隐藏了,可以调用出来构造payload为:
“&t_sort=” type=“test” οnclick="alert(1)”进行尝试
&t_sort 标识&名字,引用之后的
Type 类型+输出 ,执行的内容
Onclick 执行弹窗
在这里插入图片描述

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值